0
0
Ransomware tem sido uma indústria extremamente lucrativa para gangues criminosas nos últimos anos. O valor total do resgate pago desde 2020 é estimado em pelo menos US$ 2 bilhões, e isso motivou e permitiu que os grupos que estão lucrando com essa atividade se tornassem mais profissionais.
Esses grupos estão emulando o ecossistema de tecnologia legítimo e buscando maiores eficiências e lucros: terceirizam problemas comuns e complexos; subcontratam trabalho; e eles empregam freelancers por meio do que poderia ser chamado de gig economy de operadores. A demanda por esses serviços levou a que os prestadores de serviços criminais surgissem para suprir essas necessidades e, em um ciclo quase virtuoso de malícia, essa oferta de serviços de cibercrime possibilita todo o cenário de ameaças ao cibercrime.
Os atores agora podem comprar malware, infraestrutura e phishing como serviço; eles podem até mesmo comprar facilmente o acesso às vítimas de corretores de acesso inicial (IABs). Esse mercado amadurecido significa que qualquer ator com a motivação (e alguma criptomoeda) pode comprar ferramentas maliciosas eficazes e instruções sobre como usá-las.
O que isso significa para os defensores?
Com a existência de um mercado de acesso às vítimas, os incidentes de segurança podem evoluir e mudar rapidamente. O ator inicial que compromete uma rede pode vender esse acesso a outro ator que deseja especificamente atingir essa vítima, sua localização vertical ou geográfica.
Suponha que um invasor atinja o limite de sua capacidade técnica e não consiga escalar privilégios em um servidor de borda. Nesse caso, eles ainda podem oferecer esse acesso para venda, e outro ator mais capaz pode entrar e assumir onde o ator anterior falhou.
Além da natureza modular de um único compromisso neste novo ecossistema profissionalizado de cibercrime, torna-se mais difícil identificar os objetivos do atacante, mesmo que não haja revenda ou transferência de acesso. Malwares eficazes, infraestrutura pronta e campanhas de phishing podem ser adquiridos para que as ferramentas, a infraestrutura e os TTPs não sejam mais um identificador confiável do invasor ativo em um incidente de segurança.
Fica mais difícil saber o gol do atacante
O comprometimento de um servidor de borda pode levar esse servidor a ser recrutado para um pool de mineração para crypto-jacking ou para um botnet de phishing ou DDOS. Isso é ruim, mas não é uma ameaça existencial para uma organização.
No entanto, os atores que procuram essas vitórias rápidas agora podem estar usando exatamente as mesmas ferramentas e métodos persistentes que os principais grupos de ransomware multiponto de extorsão. É extremamente difícil diferenciar entre os atores até que eles estejam muito perto de atingir seus objetivos, então todo incidente de segurança precisa ser tratado como se fosse o incidente mais grave e perigoso que poderia ser.
Tem sido repetidamente observado que, quando uma nova vulnerabilidade surge em um software voltado para a internet comumente usado, vários atores, desde gangues de sequestro de criptomoedas até APTs apoiadas por países, entram em ação e configuram sua infraestrutura de exploração em massa para atingi-la e explorá-la. Ao manterem-se cientes do cenário atual de ameaças e da inteligência de ameaças que está disponível, as organizações podem reagir rapidamente às ameaças mais recentes.
Para uma equipe de segurança ou infraestrutura, pode ser a pior sensação do mundo descobrir que uma rede foi comprometida por meio da exploração de uma vulnerabilidade que poderia ter sido corrigida. Embora eu imagino que seja ainda pior descobrir que sua rede foi comprometida porque você não corrigiu a tempo.
Oportunidades para os defensores surgem desse novo cenário, no entanto, se vários atores estiverem usando as mesmas ferramentas e métodos, e mesmo que seja porque eles são eficazes e eficientes, essa é uma sobreposição que pode ser focada. Os defensores podem se equipar para enfrentar as ferramentas e táticas comuns, detectar e reconhecer as correntes populares atuais de comportamento do atacante e agir.
Você pode não saber o objetivo final de um ator específico em um compromisso, mas você pode:
Conheça seus inimigos – Use inteligência de ameaças para se manter atualizado sobre as ferramentas, métodos e objetivos populares dos atacantes. As grandes tendências atuais são para o acesso inicial via phishing ou exploração de serviços vulneráveis acessíveis externamente.
As ações no alvo são muitas vezes alcançadas vivendo da terra, ou seja, abusando de ferramentas já presentes do sistema operacional e do uso de estruturas comuns de pós-exploração de commodities, como Cobalt Strike, Metasploit e Sliver. Os objetivos comuns para os invasores são roubo de informações (IABs parcialmente se enquadram nisso), fraude e extorsão (ou seja, ransomware).
Conheça suas vulnerabilidades – Quais são suas superfícies externas através das quais você pode ser direcionado? Servidores da Web, e-mail e aplicativos sem patches sempre foram grandes alvos. Ainda assim, até mesmo a infraestrutura de rede, como firewalls de grandes marcas, contém vulnerabilidades que foram exploradas. Quais são os caminhos de ataque através do seu patrimônio para seus ativos valorizados? Existem controles em vigor sobre o acesso a informações confidenciais ou você está executando uma rede plana aberta? Você está executando algum sistema legado, ICS ou dispositivos IoT?
Agir primeiro – Implemente detecções e controles preventivos para essas ferramentas, métodos e caminhos comuns, bem como controles de acesso e restrições em torno de dados e funções. Monitore atividades incomuns em sua propriedade, implemente e preste atenção às detecções comportamentais baseadas em aprendizado de máquina ou obtenha um serviço de detecção e resposta gerenciada (MDR) para fazer isso por você. Educar proativamente sua base de usuários e definir políticas e procedimentos que deixem claro suas responsabilidades e se alinhem aos seus controles técnicos. Aplique patches de segurança o mais rápido possível.
Tenha um plano de resposta a incidentes – Se você tiver inteligência sobre ameaças, autoconhecimento, controles e políticas, poderá elaborar um plano de ação para sua organização seguir em caso de incidente.
Situações imprevisíveis e bolas curvas ainda ocorrerão durante um incidente de segurança, mas se você já tiver feito a maior parte do trabalho, poderá agir muito mais rápido e, em seguida, ser capaz de se concentrar nos casos de borda imprevisíveis.
FONTE: HELPNET SECURITY