O número de ataques via web shells aumentou a uma taxa acima da média nos primeiros três meses de 2023. O relatório Cisco Talos mostra que os ataques por web shells são o novo principal vetor de ataque no primeiro trimestre de 1. O ransomware pode ser melhor evitado.
De acordo com a análise do Cisco Talos, esse tipo de ataque foi responsável por um quarto de todos os incidentes investigados pela equipe de resposta a incidentes no primeiro trimestre de 2023. Ao mesmo tempo, a proporção de ataques de ransomware detectados caiu de 20% para 10%. No entanto, os pesquisadores cibernéticos não estão dando tudo certo: porque um quinto de todas as atividades de ameaças observadas pode ser atribuída a medidas dos invasores, que normalmente precedem e se preparam para um ataque de ransomware.
Situação de ameaça para o primeiro trimestre de 2023
🔎 Muitos ataques via web shells: Muitas contas de usuários de aplicativos da web são protegidas apenas com senhas fracas ou autenticação de fator único (Imagem: Cisco).
A Talos, uma das maiores organizações de inteligência comercial de ameaças do mundo, divulgou sua avaliação trimestral de ameaças para o primeiro trimestre de 2023. Consequentemente, os aplicativos da Web disponíveis publicamente foram um dos principais alvos dos agentes de ameaças durante esse período. Quase metade de todos os ataques (45%) usa esses aplicativos como um vetor inicial para obter acesso aos sistemas. Em relação ao trimestre anterior, isso corresponde a um aumento de 15%.
Muitos desses ataques usaram web shells que comprometeram servidores expostos à internet. De um modo geral, um shell da web é um script malicioso que se disfarça como um arquivo legítimo, abrindo assim um backdoor para o servidor da web. Os shells da Web geralmente são "deixados para trás" para novos ataques após uma infiltração já bem-sucedida. De acordo com os pesquisadores do Talos, os invasores se beneficiaram do fato de que muitas contas de usuários de aplicativos da Web eram protegidas apenas por senhas fracas ou autenticação de fator único.
Ataque por meio de aplicativos da Web mal protegidos
"As falhas na segurança dos aplicativos da Web se vingam", diz Holger Unterbrink, líder técnico da Cisco Talos na Alemanha. “Os resultados do nosso relatório deixam claro mais uma vez que a autenticação multifatorial e senhas fortes agora fazem parte dos fundamentos da higiene cibernética. Especialmente quando se trata de aplicativos importantes como sites.”
Defesas reforçadas contra ransomware: Vice Society mitigado
A ameaça de ransomware permanece alta. Embora o Cisco Talos tenha registrado um declínio geral nos casos de extorsão bem-sucedidos no primeiro trimestre, a atividade geral de ransomware permanece alta. As chamadas atividades de "pré-ransomware" representaram cerca de um quinto de todos os ataques, de modo que um aumento nos ataques bem-sucedidos pode ser esperado novamente nos próximos meses. O Cisco Talos conseguiu vincular muitas das medidas de ataque preparatório a grupos de ransomware conhecidos, como o Vice Society. Segundo os pesquisadores, a rápida intervenção das equipes de segurança nas empresas vítimas ajudou a conter os ataques antes que a criptografia ocorresse.
No primeiro trimestre de 2023, a saúde foi o principal alvo dos criminosos, seguida de perto pelo varejo, imóveis e hotelaria.
Você tem um momento?
Reserve alguns minutos para nossa pesquisa de usuários de 2023 e ajude a melhorar o B2B-CYBER-SECURITY.de!Você só precisa responder a 10 perguntas e tem uma chance imediata de ganhar prêmios da Kaspersky, ESET e Bitdefender.
Aqui você vai direto para a pesquisa
Documentos do OneNote como um vetor de ataque
🔎 No primeiro trimestre de 2023, a saúde foi o principal alvo dos criminosos, seguida de perto pelo varejo (Imagem: Cisco).
O chamado “malware de commodities” já estava em alta no ano passado. É amplamente utilizado e pode ser adquirido ou baixado gratuitamente. O malware de commodity geralmente não é personalizado e é explorado por agentes de ameaças em vários estágios de suas atividades. No primeiro trimestre de 2023, os carregadores de commodities avistados anteriormente, como Qakbot, fizeram uma aparição mais forte novamente. O Qakbot costumava usar documentos maliciosos do OneNote.
O uso de anexos maliciosos do OneNote também pode ser observado em outras tentativas de ataque. Portanto, os agentes de ameaças continuam experimentando tipos de arquivo que não dependem de macros, de acordo com a análise da Talos. A Microsoft começou a desabilitar macros em seus aplicativos por padrão em julho de 2022. Outros aplicativos que contêm e gerenciam outros arquivos também são afetados.
Mais resultados no primeiro trimestre de 2023
- Trinta por cento dos casos de ataque observados tiveram a autenticação multifator (MFA) totalmente desativada ou apenas para algumas contas e serviços críticos.
- Sucessos recentes de agências de aplicação da lei em acabar com grandes gangues de ransomware (por exemplo, Hive) estão surtindo efeito. No entanto, isso abre espaço para novas famílias ou formação de novas parcerias. Uma nova família de ransomware como serviço (RaaS) apareceu com o Daixin Ransomware no primeiro trimestre de 1.
- O kit de ferramentas de código aberto Mimikatz foi usado em quase 60% das implantações de ransomware e pré-ransomware neste trimestre. Mimikatz é uma ferramenta de pós-exploração amplamente usada para roubar IDs de login, senhas e tokens de autenticação de sistemas Windows comprometidos.
Sobre a Cisco A Cisco é a empresa de tecnologia líder mundial que torna a Internet possível. A Cisco está abrindo novas possibilidades para aplicativos, segurança de dados, transformação de infraestrutura e capacitação de equipes para um futuro global e inclusivo.