0
0
Um novo relatório revela que gangues de ransomware como Clop seriam facilmente capazes de pagar um bando de desenvolvedores de explorações de dia zero para software empresarial vulnerável
A revisão semestral do cenário de ameaças da empresa de cibersegurança Rapid7 não é nada tranquilizadora. O ransomware permanece com índice de atividade elevado ao mesmo tempo em que as defesas básicas de segurança estão inoperantes. Para piorar o quadro, o nível de maturidade geral de segurança se mantém baixo, em contrapartida ao fato de o retorno do investimento (ROI) crime cibernética ser potencialmente enorme.
A revisão é compilada a partir das observações dos pesquisadores da Rapid7 e suas equipes de serviços gerenciados. Ela descobriu que houve mais de 1.500 vítimas de ransomware em todo o mundo no primeiro semestre deste ano. Isso incluiu 526 vítimas do grupo LockBit, 212 vítimas do ALPHV/BlackCat, 178 vítimas do Clop e 133 vítimas do BianLian. Os números foram compilados a partir de comunicações do local de vazamento, divulgações públicas e dados de resposta a incidentes da Rapid7.
Os números, no entanto, devem ser considerados conservadores, segundo a empresa. Eles não incluem organizações que silenciosamente pagam resgate como se nada tivesse acontecido. Além disso, as vítimas ainda estão sendo calculadas. “O número de incidentes atribuídos ao Clop provavelmente será [significativamente] baixo, uma vez que o grupo ainda está reivindicando ativamente novas vítimas de maio passado de um ataque de dia zero ao MOVEit Transfer”, observa o relatório.
O ransomware é bem-sucedido por dois motivos, segundo os especialistas: o potencial de lucro para os criminosos é muito alto e devido a postura de segurança inadequada de muitos alvos em potencial. Três fatores ilustram esta última afirmação. Em primeiro lugar, quase 40% dos incidentes foram causados pela falta ou aplicação negligente de autenticação multifatorial (MFA), apesar de muitos anos de exortações para implementar essa defesa básica.
Em segundo lugar, a postura geral de segurança permanece baixa em muitas organizações. Os consultores da Rapid7 realizaram várias avaliações de segurança para clientes, “com apenas uma única organização até agora neste ano atendendo às nossas recomendações mínimas para maturidade de segurança, conforme medido em relação aos benchmarks CIS e NIST”. Embora a segurança dessas empresas possa melhorar após a avaliação, os números mostram que um número substancial delas não atende aos padrões mínimos de segurança.
Em terceiro lugar, e reforçando o segundo fator, vulnerabilidades antigas continuam sendo bem-sucedidas para os invasores. “Dois exemplos notáveis do primeiro semestre são o CVE-2021-20038, vulnerabilidade descoberta pela Rapid7 em dispositivos da série SonicWall SMA 100, e o CVE-2017-1000367, uma falha no comando sudo que permite a divulgação de informações e a execução de comandos”, diz o relatório.
Isso não significa que novas vulnerabilidades não tenham sido descobertas e exploradas no primeiro semestre. “No geral, mais de um terço das vulnerabilidades de ameaças generalizadas foram usadas em ataques de dia zero, que permanecem predominantes entre os CVEs de 2023 explorados”, continua o relatório. “Nossa equipe também observou várias instâncias de exploração do Adobe ColdFusion [CVE-2023-26360], o que pode indicar que a vulnerabilidade está sendo explorada de forma mais ampla do que os ‘ataques muito limitados’ que a Adobe divulgou em seu comunicado”, acrescenta o documento.
No entanto, o crime organizado (como o que está por trás das gangues de ransomware) não ataca os negócios simplesmente porque pode — é movido pelo lucro. O relatório a Rapid7 demonstra como o cibercrime pode ser lucrativo. Os brokers (corretores) de exploração continuam tendo demanda na dark web, vendendo inúmeras explorações de dia zero a dispositivos de rede por mais de US$ 75 mil. A Rapid 7 aponta que, mesmo com um preço dez vezes maior, um único uso bem-sucedido em um ataque de ransomware forneceria um retorno considerável sobre o investimento.
“Com toda a probabilidade, um operador de ameaças como o Clop seria facilmente capaz de pagar um bando [de desenvolvedores] de exploits de dia zero para software corporativo vulnerável, permitindo que o grupo acumulasse e aprimorasse recursos proprietários enquanto fazia o reconhecimento de alvos de alta receita”, diz a Rapid7. “Também não é um caso de uso teórico; há indicações de que o Clop testou sua exploração de dia zero para o MOVEit Transfer [CVE-2023-34362] por quase dois anos antes de implantá-la em um ataque altamente orquestrado no fim de semana do Memorial Day deste ano.”
É difícil encontrar muita coisa reconfortante no relatório. Com enorme incentivo financeiro para o cibercrime e o fracasso contínuo das organizações em implementar até mesmo defesas de segurança básicas (como MFA e patches), além do aumento da complexidade da nuvem, escassez de mão de obra de segurança qualificada e incerteza econômica que inibe grandes investimentos em segurança cibernética, é provável que o cenário geral de segurança cibernética piore muito antes de melhorar.
FONTE: CISO ADVISOR