McAfee Enterprise e FireEye 2022 Previsões de Ameaças

Views: 1036
0 0
Read Time:11 Minute, 11 Second

Que ameaças à segurança cibernética as empresas devem procurar em 2022?

Ransomware, estados nacionais, mídia social e a mudança na dependência de uma força de trabalho remota fizeram manchetes em 2021. Os maus atores aprenderão com as táticas de sucesso deste ano, reequipamento, e os colocarão nas campanhas do próximo ano, com o potencial de causar mais estragos em todas as nossas vidas.

Engenheiros especializados e arquitetos de segurança da McAfee Enterprise e FireEye oferecem uma prévia de como o cenário de ameaças pode parecer em 2022 e como essas novas ameaças ou ameaças em evolução podem potencialmente impactar a segurança de empresas, países e civis.

“Durante este último ano, vimos os criminosos cibernéticos ficarem mais inteligentes e mais rápidos em reequipar suas táticas para seguir novos esquemas de atores maus – de resgates a estados nacionais – e não prevemos que isso mude em 2022”, disse Raj Samani, colega e cientista chefe da empresa combinada. “Com a evolução do cenário de ameaças e o impacto contínuo da pandemia global, é crucial que as empresas permaneçam cientes das tendências da cibersegurança para que possam ser proativas e acionáveis na proteção de suas informações”.

Previsões

  • Lazarus Quer Adicioná-lo como Amigo
  • Procura-se ajuda: Maus com benefícios
  • Jogo de Tronos de Resgate
  • Ransomware para chupetas
  • Mantenha um olho atento ao API
  • Os seqüestradores visarão seus contêineres de aplicação
  • Cuidados Zero Sobre Zero-Days

Lazarus Quer Adicioná-lo como Amigo

Os estados nacionais armarão as mídias sociais para atingir mais profissionais empresariais

Por Raj Samani

Nós amamos nossas mídias sociais. De bifes entre popstars e profissionais, a um canal aberto para os melhores empregos do setor.

Mas adivinhe o que?

Os atores da ameaça sabem disso, e nosso apetite por aceitar conexões de pessoas que nunca conhecemos são parte de nossa incansável busca pelos próximos 1.000 seguidores.

O resultado disso tem sido o direcionamento de executivos com promessas de ofertas de emprego de grupos de ameaça específicos; e por que não? Afinal, é o método mais eficiente para contornar os controles tradicionais de segurança e comunicar diretamente com alvos em empresas que são de interesse para grupos de ameaça. Da mesma forma, mensagens diretas têm sido usadas por grupos para assumir o controle de contas influentes para promover o envio de suas próprias mensagens.

Embora esta abordagem não seja nova, ela é quase tão onipresente quanto os canais alternativos. Afinal, exige um nível de pesquisa para “enganchar” o alvo em interações e estabelecer perfis falsos são mais trabalhosos do que simplesmente encontrar um relé aberto em algum lugar na Internet. Dito isto, visar indivíduos tem se mostrado um canal muito bem sucedido, e prevemos que o uso deste vetor poderia crescer não apenas através de grupos de espionagem, mas de outros atores de ameaça que procuram se infiltrar em organizações para seu próprio ganho criminoso.

Procura-se ajuda: Maus com benefícios

Os estados nacionais aumentarão suas operações ofensivas alavancando os cibercriminosos

Por Christiaan Beek

Com um foco na inteligência estratégica, nossa equipe não está apenas monitorando a atividade, mas também investigando e monitorando a inteligência de código aberto a partir de uma diversidade de fontes para obter mais informações sobre atividades de ameaça em todo o mundo – e estas incluem um aumento na mistura de crimes cibernéticos e operações de estados-nação.

Em muitos casos, uma empresa iniciante é formada, e uma rede de empresas de fachada ou empresas de “tecnologia” existentes estão envolvidas em operações que são dirigidas e controladas pelos ministérios de inteligência dos países.

Em maio de 2021, por exemplo, o governo dos EUA acusou quatro cidadãos chineses que trabalhavam para empresas estatais de fachada. As empresas de fachada facilitaram aos hackers a criação de malware, atacar alvos de interesse para obter inteligência comercial, segredos comerciais e informações sobre tecnologias sensíveis.

Não apenas a China, mas também outras nações, como Rússia, Coréia do Norte e Irã, aplicaram essas táticas. Contrate hackers para operações, não faça perguntas sobre suas outras operações se elas não prejudicarem os interesses de seu próprio país.

Onde no passado famílias específicas de malware estavam ligadas a grupos de estados-nação, o embaçamento começa a acontecer quando os hackers são contratados para escrever código e conduzir estas operações.

A quebra inicial com táticas e ferramentas poderia ser semelhante às operações “regulares” de crimes cibernéticos, porém é importante monitorar o que está acontecendo a seguir e agir rapidamente. Com o aumento previsto do embaçamento entre o crime cibernético e os atores do Estado-nação em 2022, as empresas devem auditar sua visibilidade e aprender com as táticas e operações conduzidas pelos atores que visam seu setor.

Jogo de Tronos de Ransomware

Grupos de cibercrimes auto-suficientes mudarão o equilíbrio de poder dentro do reino ecológico RaaS

Por John Fokker

Durante vários anos, os ataques de resgate dominaram as manchetes como sendo, sem dúvida, as ameaças cibernéticas mais impactantes. O modelo Ransomware-as-a-Service (RaaS), na época, abriu o caminho da carreira do crime cibernético para criminosos menos qualificados, o que acabou levando a mais violações e maiores lucros criminosos.

Durante muito tempo, os administradores e desenvolvedores do RaaS foram priorizados como os principais alvos, muitas vezes negligenciando os afiliados, uma vez que eram percebidos como menos habilidosos. Isto, combinado com a falta de perturbações no ecossistema RaaS, criou uma atmosfera onde aqueles afiliados menos capacitados podiam prosperar e crescer e se tornar cibercriminosos muito competentes, eventualmente com uma mente própria.

Em uma resposta ao ataque ao Pipeline Colonial, os populares fóruns de crimes cibernéticos proibiram a publicidade de agentes de resgate. Agora, os grupos RaaS não têm mais uma plataforma de terceiros na qual possam recrutar ativamente, mostrar sua antiguidade, oferecer caução, ter seus binários testados por moderadores ou resolver disputas. A falta de visibilidade tornou mais difícil para os grupos RaaS estabelecer ou manter credibilidade e tornará mais difícil para os desenvolvedores RaaS manter sua posição atual de primeira linha no subsolo.

Estes eventos minam sua posição de confiança. A Ransomware tem gerado bilhões de dólares nos últimos anos e é apenas uma questão de tempo até que alguns indivíduos que acreditam que não estão recebendo sua parte justa se tornem infelizes.

Os primeiros sinais deste acontecimento já são visíveis como descrito em nosso blog no Groove Gang, uma gangue de criminosos cibernéticos que se ramificou do clássico RaaS para se especializar em exploração de redes de computadores (CNE), exfiltrar dados sensíveis e, se lucrativo, fazer parceria com uma equipe de resgate para criptografar a rede da organização.

Em 2022, esperar que grupos mais auto-confiantes de crimes cibernéticos aumentem e mudem o equilíbrio de poder dentro do eco-clima RaaS daqueles que controlam o resgate para aqueles que controlam as redes da vítima.

Ransomware for Dummies

Os operadores menos qualificados não terão que dobrar o joelho no modelo RaaS de deslocamento de força

Por Raj Samani

O sistema ecológico Ransomware-as-a-Service evoluiu com o uso de afiliados, os intermediários que trabalham com os desenvolvedores para uma parte dos lucros. Enquanto esta estrutura foi aperfeiçoada durante o crescimento do GandCrab, estamos testemunhando potenciais abismos no que está se tornando uma união não tão perfeita.

Historicamente, as desenvolvedoras de resgate, seguraram os cartões, graças à sua capacidade de determinar seletivamente as afiliadas em suas operações, até mesmo realizando “entrevistas de emprego” para estabelecer a perícia técnica. Como mais agentes de resgate entraram no mercado, suspeitamos que as afiliadas mais talentosas agora são capazes de leiloar seus serviços para uma parte maior dos lucros, e talvez exijam uma participação mais ampla nas operações. Por exemplo, a introdução da enumeração do Active Directory dentro do DarkSide ransomware poderia ter a intenção de remover a dependência da perícia técnica das afiliadas. Estas mudanças sinalizam uma migração potencial de volta aos primeiros dias do resgate, com operadores menos qualificados aumentando a demanda usando a perícia codificada pelos desenvolvedores do resgate.

Será que isto funcionará? Francamente, será um desafio replicar a experiência técnica de um especialista em testes de penetração, e talvez – apenas talvez – o impacto não seja tão severo quanto os casos recentes.

Mantenha um olho atento às API’s

O tráfego 5G e IoT entre serviços API e aplicativos os tornará cada vez mais lucrativos

Por Arnab Roy

Os atores das ameaças prestam atenção às estatísticas e tendências empresariais, identificando serviços e aplicações que oferecem um maior potencial de risco. As aplicações em nuvem, independentemente de seu sabor (SaaS, PaaS ou IaaS), transformaram a forma como as APIs são projetadas, consumidas e alavancadas pelos desenvolvedores de software, seja um cenário B2B ou B2C. O alcance e a popularidade de algumas dessas aplicações em nuvem, bem como o tesouro de dados e capacidades críticas para os negócios que normalmente estão por trás dessas APIs, fazem delas um alvo lucrativo para os atores da ameaça. A natureza conectada das APIs também introduz riscos adicionais às empresas, uma vez que elas se tornam um vetor de entrada para ataques mais amplos na cadeia de fornecimento.

A seguir estão alguns dos principais riscos que vemos evoluir no futuro:

  • Má configuração dos APIs
  • Exploração de mecanismos modernos de autenticação
  • Evolução dos ataques tradicionais de malware para usar mais as APIs da nuvem
  • Potencial mau uso das APIs para lançar ataques a dados empresariais
  • O uso de APIs para infra-estrutura definida por software também significa potencial uso indevido.
  • Para os desenvolvedores, desenvolver um modelo de ameaça eficaz para suas APIs e ter um mecanismo de controle de acesso de confiança zero deve ser uma prioridade ao lado de um registro de segurança e telemetria eficazes para uma melhor resposta a incidentes e detecção de uso indevido malicioso.

Os seqüestradores visarão seus contêineres de aplicação

A expansão da exploração de contêineres levará a aquisições de recursos no ponto final

Por Mo Cashman

Os contêineres se tornaram a plataforma de fato das modernas aplicações de nuvem. As organizações vêem benefícios como portabilidade, eficiência e velocidade que podem diminuir o tempo para implantar e gerenciar aplicações que impulsionam a inovação para os negócios. Entretanto, o uso acelerado de contêineres aumenta a superfície de ataque de uma organização. Que técnicas devem ser procuradas e que grupos de risco de contêineres serão visados? A exploração de aplicações voltadas para o público (MITRE T1190) é uma técnica freqüentemente utilizada por grupos APT e Ransomware. A Cloud Security Alliance (CSA) identificou vários grupos de risco de contêineres, incluindo Image, Orchestrator, Registry, Container, Host OS e Hardware.

A seguir estão alguns dos principais grupos de risco que antecipamos que serão alvo de exploração ampliada no futuro:

  • Riscos do Orquestrador: Ataques crescentes à camada de orquestração, tais como Kubernetes e API associados, impulsionados principalmente por concepções errôneas.
  • Risco de imagem ou de registro: Aumento do uso de imagens maliciosas ou backdoorizadas através de verificações insuficientes de vulnerabilidade.
  • Riscos de contêineres: Ataques cada vez maiores visando aplicações vulneráveis.

A exploração expandida das vulnerabilidades acima em 2022 poderia levar ao seqüestro de recursos de terminal através de malware criptográfico, girando outros recursos, roubo de dados, persistência de atacantes e fuga de contêineres para sistemas host.

Zero se preocupa com zero-dias

O tempo para redirecionar as vulnerabilidades para explorações de trabalho será medido em horas e não há nada que você possa fazer a respeito … exceto remendar

Por Fred House

2021 já está sendo tocado como um dos piores anos registrados com relação ao volume de vulnerabilidades de dia zero exploradas na natureza. O escopo destas explorações, a diversidade de aplicações visadas e, por fim, as conseqüências para as organizações foram todas notáveis. Ao olharmos para 2022, esperamos que estes fatores impulsionem um aumento na velocidade com que as organizações respondem.

Quando soubemos em 2020 que cerca de 17.000 clientes da SolarWinds estavam comprometidos e que cerca de 40 foram posteriormente visados, muitos reagiram em choque com o escopo puro do compromisso. Infelizmente, 2021 trouxe seu próprio aumento notável em volume junto com tempos de resposta pouco inspiradores por parte das organizações. Caso em questão: duas semanas após a Microsoft ter corrigido o ProxyLogon, eles relataram que servidores Exchange 30K ainda eram vulneráveis (estimativas menos conservadoras tinham o número de 60K).

O ProxyShell chegou mais tarde como o segundo grande evento do ano do Exchange. Em agosto, uma apresentação de Blackhat detalhando as vulnerabilidades do Exchange Server foi seguida no dia seguinte pelo lançamento de um POC de exploração, que havia sido corrigido pela Microsoft meses antes, em abril/maio. Esta análise dos dados capturados por Shodan uma semana após o lançamento do exploit POC concluiu que mais de 30K servidores Exchange ainda estavam vulneráveis, observando que os dados podem ter subrepresentado o escopo completo (ou seja, Shodan não tinha tido tempo de escanear a Internet completa). Em resumo: remendado na primavera, explorado no outono.

Então, o que podemos tirar de tudo isso? Bem, tanto os atacantes quanto os pesquisadores de segurança continuarão a aprimorar seu ofício até que explorações armadas e POCs sejam esperadas dentro de horas após a revelação da vulnerabilidade. No entanto, por sua vez, e em grande parte devido ao aumento das conseqüências do compromisso, também podemos esperar uma diligência renovada em torno do gerenciamento de ativos e remendos. Desde a identificação de ativos de face pública até a rápida implementação de remendos, apesar de potenciais perturbações nos negócios, as empresas terão um foco renovado na redução de seu “tempo para remendar”. Embora inevitavelmente continuaremos a ver explorações de alto impacto, o escopo dessas explorações será reduzido à medida que mais organizações voltarem ao básico.

FONTE: FIREEYE

POSTS RELACIONADOS