Um provedor de IA de segurança cibernética lançou seu Relatório de Ameaças de Fim de Ano para o segundo semestre de 2023. O relatório é baseado em dados de toda a base de clientes e revela desenvolvimentos importantes nas áreas de malware multifuncional, carregadores, ViperSoftX e e-mails de phishing.
De acordo com a análise da Darktrace, no segundo semestre de 2023, o tipo de ameaça mais comumente observado foi o Malware-as-a-Service (MaaS), que, junto com o Ransomware-as-a-Service (RaaS), foi responsável pela maioria dos ferramentas maliciosas usadas em ataques cibernéticos inventados. Devido à alta demanda e às receitas recorrentes baseadas em assinaturas, a Darktrace espera que os ecossistemas MaaS e RaaS continuem a crescer e continuem sendo as maiores ameaças em 2024. Todos os resultados da análise são baseados em insights coletados pela IA de autoaprendizagem da Darktrace.
Um malware para tudo
O malware não é mais adaptado a uma ação ou tarefa específica. Ele foi desenvolvido e pode realizar diversas atividades - como um canivete suíço. A evolução do malware multifuncional continuará e representará uma ameaça crescente para as equipes de segurança devido à sua adaptabilidade e versatilidade. Isto permite que os cibercriminosos realizem uma série de atividades maliciosas com mais eficiência e reduzam o tempo que passam nas redes afetadas. Isso também reduz a probabilidade de sua detecção. A detecção de anomalias torna-se crítica para que as organizações fiquem à frente das ameaças em constante evolução.
Um exemplo atual de malware multifuncional é o CyberCartel. Este grupo de hackers latino-americano está ativo desde 2012 e é conhecido por explorar ofertas MaaS de outras variedades de malware, como o botnet Fenix. A equipe de pesquisa de ameaças da Darktrace descobriu cerca de 40 redes potencialmente afetadas pelo CyberCartel. Ao combinar recursos de diferentes linhagens e usar uma infraestrutura C2 comum, o CyberCartel pode distribuir efetivamente seu malware e roubar informações. É muito difícil determinar com precisão qual empresa é afetada por qual função de malware.
Os abridores de portas
Os carregadores geralmente abrem as portas para redes corporativas e representam a categoria de ameaça observada com mais frequência em MaaS e RaaS que a Darktrace analisou no segundo semestre de 2023. Eles estiveram envolvidos em 77% dos ataques examinados, seguidos por criptomineradores (52%), botnets (39%), malware para roubo de informações (36%) e botnets proxy (15%). As porcentagens resultam de múltiplas respostas porque os clientes afetados foram divididos em mais de um tipo de ameaça com base nas infecções de cada categoria.
Malwares de primeiro acesso, como carregadores e ladrões de informações, continuarão a estar entre as maiores ameaças às organizações. Freqüentemente, são ferramentas MaaS flexíveis e interoperáveis. A Darktrace frequentemente observa que coleta dados e credenciais para acesso inicial sem transferir arquivos. Os dados são frequentemente vendidos. Dado o valor crescente dos dados no mercado moderno de ameaças cibernéticas, as ferramentas MaaS de primeiro acesso continuam a ser uma questão importante para as equipes de segurança. Além disso, os carregadores permitem infecções subsequentes de segundo e terceiro estágio para ataques maliciosos e ransomware.
Ladrão de senha evita detecção
ViperSoftX é um exemplo de distribuição generalizada de malware de primeira entrada. O Trojan Ladrão de Informações e Acesso Remoto (RAT) coleta informações confidenciais, como endereços de carteiras de criptomoedas e informações de senhas armazenadas em navegadores ou gerenciadores de senhas para facilitar ataques subsequentes. Geralmente é distribuído por meio de downloads de software crackeado de domínios suspeitos, downloads de torrent e geradores de chaves de sites de terceiros.
O malware foi observado pela primeira vez em estado selvagem em 2020. Mas surgiram novas estirpes em 2022 e 2023 que utilizam técnicas mais sofisticadas para escapar à detecção. Isso inclui métodos avançados de criptografia e alterações mensais nos servidores de comando e controle (C2). As versões atuais também usam sideload de DLL (Dynamic-Link Library) para técnicas de execução. Eles instalam uma extensão maliciosa do navegador chamada VenomSoftX, que funciona como um ladrão independente de informações.
E-mails de phishing ainda perigosos
A solução Darktrace/Email descobriu 10,4 milhões de e-mails de phishing entre 1º de setembro e 31 de dezembro de 2023. Destes, 65% passaram com sucesso na autenticação via DMARC (Autenticação de mensagem baseada em domínio). Ignorar esta verificação indica que os cibercriminosos estão melhorando cada vez mais suas táticas de furtividade e evasão. O facto de apenas 42% dos e-mails de phishing terem sido detectados pelos principais fornecedores de e-mail, como a Microsoft e o Google, mostra lacunas e vulnerabilidades nas medidas de segurança convencionais.
Novas técnicas de engenharia social, como o uso de códigos QR, são projetadas para induzir os destinatários a revelar informações confidenciais, como detalhes de login e informações bancárias, ou baixar arquivos maliciosos. Com mais de um quarto dos e-mails de phishing contendo uma grande quantidade de texto, os cibercriminosos estão aumentando seus esforços para lançar campanhas sofisticadas de phishing. Eles também podem usar ferramentas generativas de IA para automatizar atividades de engenharia social.
Mais em Darktrace.com
Sobre a Darktrace A Darktrace, líder global em inteligência artificial para segurança cibernética, protege empresas e organizações com tecnologia de IA contra ataques cibernéticos. A tecnologia da Darktrace registra padrões de tráfego atípicos que indicam possíveis ameaças. Ao fazer isso, ele reconhece novos e desconhecidos métodos de ataque que são ignorados por outros sistemas de segurança.
Artigos relacionados ao tema