O malware “canivete suíço” – malware multifuncional que pode executar ações maliciosas em toda a cadeia de cibercrime e evitar a detecção por controles de segurança – está aumentando, de acordo com os resultados da análise da Picus Security de mais de 550.000 amostras de malware do mundo real coletados de serviços de inteligência de ameaças comerciais e de código aberto, fornecedores e pesquisadores de segurança e sandboxes e bancos de dados de malware.
Principais conclusões
Ao observar o comportamento do malware, os pesquisadores da empresa extraíram mais de 5 milhões de ações maliciosas e usaram esses dados para identificar as dez técnicas ATT&CK mais comuns utilizadas pelos cibercriminosos em 2022.
A lista – começando com a técnica mais prevalente – inclui:
- O uso de comandos e interpretadores de script para executar código arbitrário
- Despejar credenciais do sistema operacional e utilitários do sistema comprometido
- Criptografia de dados
- A injeção de código malicioso em processos legítimos (injeção de DLL, sequestro de execução de thread, esvaziamento de processo, etc.)
- A coleta de dados sobre sistemas de computador ou redes (para facilitar o movimento lateral)
- O uso de serviços remotos (por exemplo, RDP , SSH, VNC, etc.) para acesso e controle
- O abuso da Instrumentação de Gerenciamento do Windows para executar comandos maliciosos e cargas úteis em hosts Windows comprometidos
- O uso de tarefas/trabalhos agendados
- Recursos anti-virtualização e anti-sandbox
- A descoberta de hosts remotos e redes
A análise mostrou que:
- O malware médio utiliza 11 táticas, técnicas e procedimentos (TTPs) diferentes. Um terço do malware (32%) utiliza mais de 20 TTPs e um décimo utiliza mais de 30 TTPs
- O interpretador de comandos e scripts é a técnica ATT&CK mais prevalente, exibida por quase um terço das amostras de malware. A aparição de Descoberta de sistema remoto e Serviços remotos no Red Report da empresa pela primeira vez é mais uma evidência de até que ponto o malware pode agora abusar de ferramentas e protocolos integrados em sistemas operacionais para evitar a detecção
- Quatro das 10 técnicas de ATT&CK mais prevalentes identificadas são usadas para auxiliar o movimento lateral dentro de redes corporativas
- Um quarto de todo o malware é capaz de criptografar dados, destacando a ameaça contínua do ransomware.
A versatilidade do malware mais recente é demonstrada pelo fato de que um terço da amostra total analisada pelo Picus Labs é capaz de exibir mais de 20 TTPs individuais. Cada vez mais, o malware pode abusar de software legítimo, executar movimentos laterais e criptografar arquivos. Sua crescente sofisticação provavelmente é impulsionada pelos amplos recursos de sindicatos de ransomware bem financiados e pelos avanços nos métodos de detecção baseados em comportamento usados pelos defensores.
Malware multifuncional é o futuro
“O malware moderno assume muitas formas”, disse o Dr. Suleyman Ozarslan , vice-presidente da Picus Labs. “Alguns tipos rudimentares de malware são projetados para executar funções básicas. Outros, como o bisturi de um cirurgião, são projetados para realizar tarefas únicas com grande precisão. Agora estamos vendo mais malwares que podem fazer tudo e qualquer coisa. Esse malware ‘canivete suíço’ pode permitir que invasores se movam através de redes sem serem detectados em grande velocidade, obtenham credenciais para acessar sistemas críticos e criptografem dados.”
“O objetivo dos operadores de ransomware e dos agentes do estado-nação é atingir um objetivo da maneira mais rápida e eficiente possível”, continuou ele. “O fato de que mais malware pode realizar movimentos laterais é um sinal de que adversários de todos os tipos estão sendo forçados a se adaptar às diferenças nos ambientes de TI e trabalhar mais para receber seu pagamento.”
“Confrontados com a defesa contra malware cada vez mais sofisticado, as equipes de segurança também devem continuar a desenvolver suas abordagens. Ao priorizar as técnicas de ataque comumente usadas e validar continuamente a eficácia dos controles de segurança , as organizações estarão muito mais bem preparadas para defender ativos críticos. Eles também poderão garantir que sua atenção e recursos sejam focados em áreas que terão o maior impacto.”
FONTE: HELPNET SECURITY