Como mostra um novo relatório, os cibercriminosos continuam a depender do comprometimento de e-mails comerciais, além do ransomware, e usam vulnerabilidades há muito conhecidas e não corrigidas para ataques. O relatório mostra que os pedidos de resgate estão a tornar-se cada vez mais ultrajantes.
O Relatório de Ameaças do Arctic Wolf Labs foi criado com base em dados de ameaças, malware, análise forense digital e casos de resposta a incidentes que o Arctic Wolf coleta em toda a estrutura de operações de segurança. Ele fornece insights profundos sobre o ecossistema global do crime cibernético, destaca tendências globais de ameaças e fornece recomendações estratégicas de segurança cibernética para o próximo ano.
Reivindicações de ransomware aumentam em 20%
🔎 Visão geral de todas as causas raízes dos comprometimentos (Imagem: Arctic Wolf).
O cibercrime tornou-se um verdadeiro negócio nos últimos anos, com ofertas como o ransomware como serviço que levaram a uma verdadeira “democratização” do negócio criminoso. Mesmo os agentes de ameaças sem conhecimento técnico podem realizar ataques. Ao mesmo tempo, os grupos de ransomware estão se tornando cada vez mais agressivos. Os setores de manufatura, serviços e educação/sem fins lucrativos foram os três setores que apareceram com mais frequência em sites de vazamento de ransomware.
À luz dos esforços internacionais de aplicação da lei e do crescente não pagamento por parte das vítimas, os grupos estão também a expandir a sua lista de alvos e a procurar formas de exercer ainda mais pressão sobre as vítimas. A demanda inicial média de resgate aumentou 20%, para US$ 600.000, em comparação com o ano anterior. Os sectores público, retalhista, energético e jurídico registaram, cada um, reclamações médias de 1 milhão de dólares ou mais.
Grupos de ransomware estão sob pressão crescente
O desmantelamento do grupo de hackers Lockbit na “Operação Cronos”, na qual investigadores internacionais trabalharam em conjunto, incluindo a NCA, o FBI e a Europol, é um exemplo atual de grupos de ransomware que estão sob pressão crescente. Mas, infelizmente, esta destruição provavelmente só terá um efeito de curto prazo. Do grande grupo de ransomware, que extorquiu em média 1,3 vítimas por dia, apenas seis pessoas foram identificadas e apenas duas delas foram presas. Pode-se, portanto, presumir que os mesmos intervenientes voltarão rapidamente a operar sob nomes diferentes. Portanto, ainda é necessária uma grande vigilância.
O Business Email Compromise continua popular – e menos estudado
🔎 Dez principais vulnerabilidades: Mais da metade dos incidentes investigados pelo Arctic Wolf exploraram pelo menos uma das 10 vulnerabilidades a seguir (Imagem: Arctic Wolf).
O ransomware pode ganhar mais manchetes, mas os incidentes BEC são eficazes e muito mais fáceis de executar. Além disso, normalmente apenas os incidentes BEC mais graves – como aqueles que envolvem comprometimento de contas ou outras tentativas de acesso – resultam em uma investigação completa de Resposta a Incidentes (IR). Um incidente de ransomware tem 15 vezes mais probabilidade de levar a uma investigação do que um incidente de BEC, embora os incidentes de BEC superem os incidentes de ransomware por um fator de 10.
No entanto, tal como no ano anterior, os incidentes BEC representaram quase 30% de todos os incidentes investigados pela Arctic Wolf® Incident Response durante este período de relatório, sublinhando o quanto continuam a representar uma ameaça diária para as organizações.
Vulnerabilidades conhecidas causam 60% dos incidentes de segurança
Em 29% dos incidentes não BEC investigados pelo Arctic Wolf, os invasores exploraram uma vulnerabilidade em um sistema acessível externamente. Em quase 60% destes incidentes, esta foi uma vulnerabilidade identificada já em 2022 ou antes, o que significa que as organizações teriam, teoricamente, meses ou anos para corrigir o sistema afetado ou remover (ou proteger ainda mais) o acesso externo. Apenas 11,7% destes incidentes não BEC – ou 3,4% dos incidentes globais – continham uma vulnerabilidade de dia zero, um risco de segurança anteriormente desconhecido.
Mais em ArcticWolf.com
Sobre o Lobo do Ártico A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.