0
0
O cenário de ameaças e a superfície de ataque das organizações estão em constante transformação, e a capacidade dos cibercriminosos de projetar e adaptar suas técnicas para se adequar a esse ambiente em evolução continua representando um risco significativo para empresas de todos os portes, independentemente do setor ou da geografia.
Malware de limpeza destrutivo do tipo APT se espalha amplamente
A análise dos dados do malware wiper revela uma tendência de adversários cibernéticos que usam consistentemente técnicas de ataque destrutivo contra seus alvos. Também mostra que, com a falta de fronteiras na Internet, os adversários cibernéticos podem escalar facilmente esses tipos de ataques, que foram amplamente possibilitados pelo modelo Cybercrime-as-a-Service (CaaS).
No início de 2022, o FortiGuard Labs relatou a presença de vários novos limpadores em paralelo com a guerra Rússia-Ucrânia. No final do ano, o malware de limpeza se expandiu para outros países, gerando um aumento de 53% na atividade de limpeza do terceiro para o quarto trimestre.
Embora parte dessa atividade tenha sido possibilitada por malware de limpeza que pode ter sido inicialmente desenvolvido e implantado por agentes de estado-nação em torno da guerra, ela está sendo capturada por grupos cibercriminosos e está se espalhando além da Europa.
Infelizmente, a trajetória do malware limpador não parece estar diminuindo tão cedo com base no volume de atividade visto no quarto trimestre, o que significa que qualquer organização continua sendo um alvo em potencial, não apenas organizações com sede na Ucrânia ou países vizinhos.
“Para os adversários cibernéticos, manter o acesso e evitar a detecção não é uma tarefa fácil, pois as defesas cibernéticas continuam avançando para proteger as organizações hoje. Para contra-atacar, os adversários estão aumentando com mais técnicas de reconhecimento e implantando alternativas de ataque mais sofisticadas para permitir suas tentativas destrutivas com métodos de ameaças semelhantes ao APT, como malware de limpeza ou outras cargas avançadas”, disse Derek Manky, estrategista chefe de segurança e vice-presidente global de inteligência de ameaças , Laboratórios FortiGuard.
“Para se proteger contra essas táticas avançadas de cibercrime persistente, as organizações precisam se concentrar em permitir inteligência de ameaças coordenada e acionável orientada por aprendizado de máquina em tempo real em todos os dispositivos de segurança para detectar ações suspeitas e iniciar a mitigação coordenada em toda a superfície de ataque estendida”, continuou Manky.
Mapeamento de CVEs
As tendências de exploração ajudam a mostrar o que os cibercriminosos estão interessados em atacar, sondar ataques futuros e visar ativamente. O FortiGuard Labs possui um arquivo de vulnerabilidades conhecidas e, por meio do enriquecimento de dados, foi capaz de identificar vulnerabilidades exploradas ativamente em tempo real e mapear zonas de risco ativo em toda a superfície de ataque.
No segundo semestre de 2022, menos de 1% do total de vulnerabilidades observadas descobertas em uma organização de tamanho empresarial estavam em endpoints e ativamente sob ataque, dando aos CISOs uma visão clara da Zona Vermelha por meio da inteligência da superfície de ataque ativa que eles deveriam priorizar os esforços para minimizar seus riscos e onde concentrar os esforços de aplicação de patches.
Cibercrimes motivados financeiramente
Os engajamentos de resposta a incidentes (IR) do FortiGuard Labs descobriram que o cibercrime motivado financeiramente resultou no maior volume de incidentes (73,9%), com um distante segundo lugar atribuído à espionagem (13%).
Em todo o ano de 2022, 82% dos cibercrimes motivados financeiramente envolveram o emprego de ransomware ou scripts maliciosos, mostrando que a ameaça global de ransomware permanece em pleno vigor, sem evidências de desaceleração, graças à crescente popularidade do Ransomware-as-a-Service ( RaaS) na dark web.
Na verdade, o volume de ransomware aumentou 16% em relação ao primeiro semestre de 2022. De um total de 99 famílias de ransomware observadas, as cinco principais famílias representaram aproximadamente 37% de toda a atividade de ransomware durante o segundo semestre de 2022.
GandCrab , um malware RaaS que surgiu em 2018, estava no topo da lista. Embora os criminosos por trás do GandCrab tenham anunciado que estavam se aposentando depois de lucrar mais de $ 2 bilhões, houve muitas iterações do GandCrab durante seu tempo ativo.
É possível que o legado de cauda longa desse grupo criminoso ainda esteja se perpetuando, ou o código simplesmente foi construído, alterado e relançado, demonstrando a importância de parcerias globais em todos os tipos de organizações para desmantelar permanentemente as operações criminosas.
Interromper efetivamente as cadeias de suprimentos de criminosos cibernéticos requer um esforço de grupo global com relacionamentos fortes e confiáveis e colaboração entre as partes interessadas em segurança cibernética em organizações e setores públicos e privados.
A natureza engenhosa dos adversários
Os adversários cibernéticos são empreendedores por natureza e sempre buscam maximizar os investimentos e conhecimentos existentes para tornar seus esforços de ataque mais eficazes e lucrativos. A reutilização de código é uma maneira eficiente e lucrativa para os cibercriminosos desenvolverem resultados bem-sucedidos enquanto fazem alterações iterativas para ajustar seus ataques e superar obstáculos defensivos.
Quando o FortiGuard Labs analisou o malware mais prevalente no segundo semestre de 2022, a maioria dos primeiros lugares foi ocupada por malware com mais de um ano.
O FortiGuard Labs examinou ainda mais uma coleção de diferentes variantes do Emotet para analisar sua tendência de emprestar e reutilizar código. A pesquisa mostrou que o Emotet passou por especiação significativa com variantes se dividindo em aproximadamente seis “espécies” diferentes de malware.
Os adversários cibernéticos não estão apenas automatizando ameaças, mas adaptando ativamente o código para torná-lo ainda mais eficaz.
A resiliência das cadeias de suprimentos adversárias
Além da reutilização de código, os adversários também estão aproveitando a infraestrutura existente e as ameaças mais antigas para maximizar as oportunidades. Ao examinar as ameaças de botnet por prevalência, o FortiGuard Labs descobre que muitas das principais botnets não são novas.
Por exemplo, o botnet Morto, que foi observado pela primeira vez em 2011, surgiu no final de 2022. E outros como Mirai e Gh0st.Rat continuam a prevalecer em todas as regiões. Surpreendentemente, dos cinco principais botnets observados, apenas o RotaJakiro é desta década.
Embora possa ser tentador descartar ameaças mais antigas como história do passado, as organizações de qualquer setor devem continuar vigilantes.
Esses botnets “antigos” ainda são difundidos por um motivo: eles ainda são muito eficazes. Criminosos cibernéticos engenhosos continuarão a alavancar a infraestrutura de botnet existente e evoluí-la para versões cada vez mais persistentes com técnicas altamente especializadas porque o ROI está presente.
Especificamente, no segundo semestre de 2022, alvos significativos da Mirai incluíram provedores de serviços de segurança gerenciados ( MSSPs ), o setor de telecomunicações/operadoras e o setor de manufatura, conhecido por sua tecnologia operacional (OT) abrangente.
Os cibercriminosos estão fazendo um esforço conjunto para atingir esses setores com métodos comprovados.
Log4j continua difundido
Mesmo com toda a publicidade que o Log4j recebeu em 2021 e no início de 2022, um número significativo de organizações ainda não corrigiu ou aplicou os controles de segurança apropriados para proteger suas organizações contra uma das vulnerabilidades mais notáveis da história.
No segundo semestre de 2022, a Log4j ainda estava fortemente ativa em todas as regiões e ficou em segundo lugar. De fato, o FortiGuard Labs descobriu que 41% das organizações detectaram a atividade do Log4j, mostrando o quão difundida a ameaça permanece.
A atividade do Log4j IPS foi mais prevalente nos setores de tecnologia, governo e educação, o que não deve ser uma surpresa, dada a popularidade do Apache Log4j como software de código aberto.
Mudanças de entrega demonstram urgência para conscientização do usuário
A análise de estratégias adversárias nos fornece informações valiosas sobre como as técnicas e táticas de ataque estão evoluindo para melhor proteção contra futuros cenários de ataque. O FortiGuard Labs analisou a funcionalidade do malware detectado com base em dados de sandbox para rastrear as abordagens de entrega mais comuns. É importante observar que isso analisa apenas amostras detonadas.
Ao revisar as oito principais táticas e técnicas vistas no sandboxing, o drive-by-compromise foi a tática mais popular usada pelos cibercriminosos para obter acesso aos sistemas das organizações em todas as regiões do mundo.
Os adversários obtêm acesso principalmente aos sistemas das vítimas quando o usuário desavisado navega na Internet e baixa involuntariamente uma carga maliciosa visitando um site comprometido, abrindo um anexo de e-mail malicioso ou até mesmo clicando em um link ou janela pop-up enganosa.
O desafio com a tática drive-by é que, uma vez que uma carga maliciosa é acessada e baixada, geralmente é tarde demais para o usuário escapar do comprometimento, a menos que tenha uma abordagem holística de segurança.
FONTE: HELPNET SECURITY