Em 2023, as botnets regressaram dos mortos, os agentes de ransomware encontraram formas criativas de ganhar dinheiro com roubos e os agentes de ameaças que estiveram à solta durante uma década reinventaram-se para permanecerem relevantes.
Os especialistas em inteligência de ameaças da Cisco Talos analisaram os principais desenvolvimentos de 2023 e os resumiram em uma revisão anual que vale a pena ler. O trabalho padrão para o ano do crime cibernético de 2023 destaca as tendências mais importantes que moldaram o cenário de ameaças no ano passado.
Vetor de ataque de ransomware
A maior ameaça às empresas em 2023 ainda era representada pelo ransomware. Pelo segundo ano consecutivo, a LockBit assumiu uma posição inglória de liderança nesta área. E, como sempre, os atacantes concentraram-se em instalações que possuem recursos limitados de segurança cibernética ou que podem tolerar pouco tempo de inatividade – especialmente no setor da saúde. No entanto, nem tudo correu como de costume em 2023: atores como Clop apostaram em explorações de dia zero. Esse comportamento geralmente está associado à atividade de grupos de ameaças persistentes avançadas (APT). A novidade também foi que os atores do ransomware passaram para a chantagem pura e ignoraram a parte da criptografia.
“Infelizmente, em 2023, os ataques com dia 0 não estarão mais limitados a invasores de estados-nação”, afirma Holger Unterbrink, líder técnico do Cisco Talos na Alemanha. “Se o alvo for lucrativo, as gangues de crimeware atacarão novamente em 0 dias. As empresas devem levar isso em conta na sua arquitetura de segurança e gestão de riscos.”
Os invasores adaptam suas estratégias
Os dados de telemetria do Cisco Talos mostram que carregadores de mercadorias de famílias conhecidas, como Qakbot e IcedID, continuaram a ser usados para espalhar ransomware. No entanto, esses carregadores abandonaram todos os resquícios de seu passado como Trojans bancários e agora se apresentam como ferramentas elegantes para transmissão de dados de carga útil. Os desenvolvedores e operadores conseguiram se adaptar às defesas aprimoradas e encontraram novas maneiras de contornar atualizações de segurança mais frequentes. A velocidade com que os grupos de ransomware conseguiram se recuperar dos sucessos investigativos também foi surpreendente. O desmantelamento da rede Quakbot em agosto de 2023 só foi eficaz por um curto período de tempo. A análise de Talos sugere que as ações de aplicação da lei podem não ter afetado a infraestrutura de envio de spam dos operadores Qakbot, mas apenas os seus servidores de comando e controle (C2).
Dispositivos de rede e vulnerabilidades antigas visadas
Uma tendência nova e inter-regional é o aumento de ataques a dispositivos de rede por APTs e agentes de ransomware. Ambos os grupos se concentraram em vulnerabilidades nos dispositivos e credenciais fracas ou incorretas. Isto mostra que os sistemas de rede são extremamente valiosos para os atacantes – independentemente das suas intenções específicas.
Quando se trata de explorar vulnerabilidades de aplicações, a análise do Talos mostra que os atacantes em 2023 visavam principalmente vulnerabilidades antigas – vulnerabilidades que são conhecidas há dez ou mais anos, mas que em muitos casos ainda não foram corrigidas. A maioria das vulnerabilidades mais comumente atacadas são classificadas como de gravidade máxima ou alta pela Cisco Kenna e pelo Common Vulnerability Scoring System (CVSS), e também estão listadas no catálogo de vulnerabilidades conhecidas da CISA.
O uso da engenharia social para operações como phishing e comprometimento de e-mail comercial (BEC) também continuou inabalável em 2023. No entanto, como resultado da desativação de macros por padrão da Microsoft em 2022, os invasores estão usando cada vez mais outros tipos de arquivos para ocultar seu malware. Os PDFs foram a extensão de arquivo bloqueada com mais frequência neste ano.
Atividades da APT demonstram instabilidade geopolítica
A análise dos grupos APT da China, Rússia e Médio Oriente ocupa muito espaço no Cisco Talos Report 2023. Os dados de telemetria reflectem claramente um aumento no tráfego de dados suspeitos paralelo a acontecimentos geopolíticos. As relações cada vez mais tensas do Ocidente com os países da região Ásia-Pacífico levaram a uma maior vontade dos grupos APT da China de causar danos - especialmente na área de infra-estruturas críticas em países como Taiwan.
Quanto aos APT russos, Gamaredon e Turla visaram a Ucrânia, como esperado. Curiosamente, no entanto, as atividades russas não demonstraram toda a gama das suas capacidades cibernéticas destrutivas. O Gamaredon teve como alvo principalmente instalações na América do Norte e na Europa, com um número desproporcional de vítimas na Europa Ocidental. O actor APT patrocinado pelo Estado iraniano, MuddyWater, continuou a ser um importante actor de ameaça no Médio Oriente em 2023. No entanto, as contramedidas da indústria impactaram a capacidade do grupo de usar suas ferramentas padrão, incluindo a plataforma de gerenciamento e monitoramento remoto (RMM) da Syncro.
Os acontecimentos no início de Outubro de 2023 entre o Hamas e Israel contribuíram para que vários grupos hacktivistas com motivação política lançassem ataques descoordenados e, na sua maioria, pouco sofisticados contra ambos os lados. Um desenvolvimento semelhante já podia ser observado no início da guerra Rússia-Ucrânia. A Cisco Talos espera que o ambiente geopolítico complicado e dinâmico no Médio Oriente também tenha impacto no domínio cibernético.
Informações adicionais do Relatório Talos:
O uso de contas válidas foi uma das técnicas MITRE ATT&CK mais comumente observadas, destacando que os invasores dependem de credenciais comprometidas em vários estágios de seus ataques.
Novas variantes de ransomware usaram código-fonte vazado de outros grupos RaaS. Isso também permitiu que atores menos experientes iniciassem a extorsão de ransomware.
O tráfego de rede suspeito mostrou um aumento acentuado na atividade que coincidiu com grandes eventos geopolíticos e ataques cibernéticos globais – como o ataque DDoS em grande escala ao Microsoft Outlook.
Sobre a Cisco A Cisco é a empresa de tecnologia líder mundial que torna a Internet possível. A Cisco está abrindo novas possibilidades para aplicativos, segurança de dados, transformação de infraestrutura e capacitação de equipes para um futuro global e inclusivo.
Artigos relacionados ao tema