Previsões da Trellix sobre ameaças em 2022

Ransomware, ações de países, mídias sociais e a crescente dependência de uma força de trabalho remota viraram manchetes em 2021, provando que os malfeitores continuam lançando novos desafios. Em desafio, eles frustram pilhas de soluções e ganham impulso a cada sucesso. Com isso, ganham confiança, tornam-se mais ousados e proliferam ainda mais.

Já vimos o impacto de sua determinação e como isso os capacita a causar mais danos. O pedido médio de ransomware cresceu de US$ 5.000 em 2018 para cerca de US$ 200.000 em 2020. Esse incrível aumento de 3.900% em apenas dois anos atesta o poder gerado sempre que um malfeitor é bem-sucedido. Faz sentido, afinal, continuar colhendo os frutos que a determinação e a força de vontade podem trazer.

Esse sucesso foi alcançado através da adaptabilidade. A noção de que, se fracassar na primeira tentativa, você deve tentar novamente. Eles agem como uma entidade viva com essa resolução, sabendo que as organizações estão em uma situação difícil para manter os negócios operando normalmente.

“Ao longo do último ano, vimos os criminosos cibernéticos se tornam mais inteligentes e rápidos em reformular suas táticas para seguir novos esquemas de malfeitores, incluindo desde ransomware até países, e não prevemos que isso mude em 2022”, disse Raj Samani, associado e cientista-chefe da Trellix. “Com a evolução do cenário de ameaças e o impacto contínuo da pandemia global, é crucial que as empresas fiquem atentas às tendências de segurança cibernética para que possam ser proativas e decisivas na proteção de suas informações.”

Para sobrepujar os malfeitores e deter a tendência de aumento de ataques e violações a cada ano, a segurança deve adotar suas táticas, sendo sempre ativa e adaptável para se manter um passo à frente. A seguir, engenheiros qualificados e arquitetos de segurança da Trellix descrevem como é crucial essa mudança de mentalidade e de abordagem à medida que avançamos por 2022.

Lazarus quer adicionar você como amigo

Países vão transformar mídias sociais em armas para visar mais profissionais de empresas
Por Raj Samani

Nós amamos as mídias sociais. Elas oferecem desde brigas entre popstars e a crítica especializada até um canal aberto para os melhores empregos do setor.

Mas adivinhe só?

Os atores de ameaças sabem disso, e nosso apetite em aceitar conexões de pessoas que não conhecemos faz parte de nossa busca incessante pelos próximos 1.000 seguidores.

Um resultado disso se manifesta quando executivos são visados com promessas de ofertas de trabalho de grupos específicos de ameaças; e por que não? Afinal, esse é o método mais eficiente de contornar os controles tradicionais de segurança e se comunicar diretamente com alvos de empresas que são de interesse aos grupos de ameaças. Da mesma forma, grupos vêm usando mensagens diretas para assumir o controle de contas de influenciadores para promover suas próprias mensagens.

Embora essa abordagem não seja nova, ela é quase tão onipresente quanto canais alternativos. Afinal, ela exige um nível de pesquisa para envolver o alvo nas interações e mais trabalho para estabelecer perfis falsos do que simplesmente encontrar uma via aberta em algum lugar da Internet. Dito isso, visar as pessoas se mostrou um canal muito bem-sucedido, e prevemos que o uso desse vetor poderia crescer não apenas através de grupos de espionagem, mas de outros atores de ameaça que procuram se infiltrar em organizações para seu próprio ganho criminoso.

Ajuda necessária: Bandidos com benefícios

Países aumentarão suas operações ofensivas aproveitando criminosos cibernéticos
Por Christiaan Beek

Com foco em inteligência estratégica, nossa equipe não está apenas monitorando a atividade, mas também investigando e monitorando a inteligência de código aberto a partir de uma diversidade de fontes para obter mais insights sobre atividades de ameaças em todo o mundo (o que inclui uma maior mescla entre crimes cibernéticos e operações realizadas por países).

Em muitos casos, uma start-up é formada, e uma rede de empresas de fachada ou empresas de “tecnologia” existentes são envolvidas em operações dirigidas e controladas pelos ministérios de inteligência dos países.

Em maio de 2021, por exemplo, o governo dos EUA processou quatro cidadãos chineses que trabalhavam para empresas estatais de fachada. As empresas de fachada permitiam que os hackers criassem malware e atacassem alvos de interesse para obter inteligência de negócios, segredos comerciais e informações sobre tecnologias confidenciais.

Não só a China, mas também outras nações como Rússia, Coreia do Norte e Irã empregaram essas táticas. Contrate hackers para operações, não faça perguntas sobre as outras operações deles desde que não prejudiquem os interesses de seus próprios países.

Enquanto no passado famílias específicas de malware estavam ligadas a grupos de países, agora começa a ocorrer uma mescla na qual hackers são contratados para escrever código e realizar essas operações.

A violação inicial com táticas e ferramentas pode ser semelhante às operações “comuns” de crimes cibernéticos, mas é importante monitorar o que acontece em seguida e agir rapidamente. Com a previsão de uma mescla cada vez maior do crime cibernético com países atores em 2022, as empresas devem auditar sua visibilidade e aprender com as táticas e operações conduzidas por atores que visam o seu setor.

Game of Ransomware Thrones

Grupos de crimes cibernéticos autossuficientes mudarão o equilíbrio de poder no ecorreino de RaaS
Por John Fokker

Por vários anos, os ataques de ransomware dominaram as manchetes como as ameaças cibernéticas mais impactantes. O modelo de ransomware como serviço (RaaS, Ransomware-as-a-Service) na época abriu o caminho da carreira de crimes cibernéticos para criminosos menos qualificados, o que eventualmente levou a mais violações e maiores lucros decorrentes do crime.

Por muito tempo, os administradores e desenvolvedores de RaaS foram priorizados como os principais alvos, muitas vezes negligenciando os afiliados, que eram vistos como menos qualificados. Isso, combinado com a falta de perturbações no ecossistema RaaS, criou uma atmosfera na qual esses afiliados menos qualificados puderam prosperar e se tornar criminosos cibernéticos muito competentes, eventualmente atuando com seus próprios planos.

Em resposta ao ataque à Colonial Pipeline, os fóruns populares de crime cibernético proibiram a publicidade de atores de ransomware. Agora, os grupos de RaaS não têm mais uma plataforma de terceiros para recrutar ativamente, mostrar sua experiência, oferecer garantias, ter seus binários testados por moderadores ou resolver disputas. A falta de visibilidade tornou mais difícil para os grupos de RaaS estabelecer ou manter credibilidade e tornará mais difícil para os desenvolvedores de RaaS manter a alta posição que ocupam atualmente no submundo.

Esses eventos minam a posição de confiança que eles possuíam. O Ransomware gerou bilhões de dólares nos últimos anos e é questão de tempo até que alguns indivíduos que acreditam não estar recebendo a parte devida se tornem infelizes.

Os primeiros sinais disso já podem ser vistos, como descrito em nossa postagem de blog sobre a gangue Groove, uma gangue cibernética criminosa que se ramificou do RaaS clássico para se especializar em exploração de redes de computadores (CNE), vazamento de dados confidenciais e, se lucrativo, parcerias com equipes de ransomware para criptografar a rede da organização.

Em 2022, a expectativa é de que grupos de crimes cibernéticos autossuficientes cresçam e alterem o equilíbrio dentro do ecossistema de RaaS, transferindo o poder daqueles que controlam o ransomware para aqueles que controlam as redes das vítimas.

Ransomware para leigos

Operadores menos qualificados não terão que se submeter à mudança de poder no modelo RaaS
Por Raj Samani

O ecossistema de ransomware como serviço evoluiu com o uso de afiliados, intermediários e mulheres que trabalham com os desenvolvedores por uma parte dos lucros. Embora esta estrutura tenha sido aperfeiçoada durante o crescimento do GandCrab, estamos testemunhando possíveis fendas de grandes proporções no que está se tornando uma união não tão perfeita.

Historicamente, os desenvolvedores de ransomware davam as cartas, graças a sua capacidade de determinar seletivamente os afiliados em suas operações, até mesmo realizando “entrevistas de emprego” para estabelecer o conhecimento técnico. Com a chegada de novos usuários de ransomware no mercado, suspeitamos que os afiliados mais talentosos agora sejam capazes de leiloar seus serviços por uma parte maior dos lucros, e talvez exigir maior espaço para decisão nas operações.

Por exemplo, a introdução da enumeração do Active Directory dentro do ransomware DarkSide pode ter objetivado o fim da dependência da experiência técnica dos afiliados. Essas mudanças sinalizam uma possível migração de volta aos primeiros dias do ransomware, com demanda aumentada por operadores menos qualificados usando a experiência codificada pelos desenvolvedores de ransomware.

Isso vai funcionar? Francamente, será desafiador replicar a experiência técnica de um testador de penetração qualificado, e talvez (apenas talvez) o impacto não seja tão grave quanto nos casos recentes.

Fique de olho na API

O tráfego de 5G e IoT entre aplicativos e serviços de API os tornará alvos cada vez mais lucrativos
Por Arnab Roy

Os atores de ameaças estão atentos às estatísticas e tendências corporativas, identificando serviços e aplicativos que oferecem maior potencial de risco. Os aplicativos na nuvem, independente do modelo (SaaS, PaaS ou IaaS), transformaram a forma como as APIs são projetadas, consumidas e aproveitadas pelos desenvolvedores de software, seja em um cenário B2B ou B2C. O alcance e a popularidade de alguns desses aplicativos na nuvem, bem como o valioso acervo de dados e recursos críticos para os negócios que normalmente estão por trás dessas APIs, os tornam um alvo lucrativo para atores de ameaças. A natureza conectada das APIs potencialmente também introduz riscos adicionais às empresas à medida que se tornam um vetor de entrada para ataques mais amplos à cadeia de fornecimento.

A seguir, alguns dos principais riscos que devem evoluir no futuro: 1. Configuração incorreta das APIs 2. Exploração dos mecanismos modernos de autenticação 3. Evolução dos ataques tradicionais de malware para que usem mais APIs de nuvem 4. Possível uso indevido das APIs para lançar ataques aos dados corporativos 5. O uso de APIs para infraestrutura definida por software também significa possível uso indevido.

Para os desenvolvedores, desenvolver um modelo de ameaça eficaz para suas APIs e ter um mecanismo de controle de acesso de confiança zero devem ser prioridade, juntamente com um registro de segurança eficaz e telemetria para melhor resposta a incidentes e detecção de uso indevido malicioso.

Sequestradores vão mirar em seus contêineres de aplicativos

A exploração expandida de contêineres levará à tomada de recursos de terminais
Por Mo Cashman

Na prática, os contêineres se tornaram a plataforma dos aplicativos modernos na nuvem. As organizações veem benefícios como portabilidade, eficiência e velocidade que podem diminuir o tempo para distribuir e gerenciar aplicativos que alimentam a inovação nos negócios. Porém, o uso acelerado de contêineres aumenta a superfície de ataque de uma organização. A quais técnicas você deve ficar atento e quais grupos de risco de contêineres serão os alvos? A exploração de aplicativos voltados para o público (MITRE T1190) é uma técnica muito usada por grupos de APT e ransomware. A Cloud Security Alliance (CSA) identificou vários grupos de risco de contêineres, incluindo imagem, orquestrador, registro, contêiner, SO host e hardware.

A seguir, alguns dos principais grupos de risco que devem ser alvos de exploração expandida no futuro: 1. Riscos de orquestrador: Ataques crescentes à camada de orquestração, como Kubernetes e API associadas, principalmente impulsionados por configurações erradas. 2. Risco de imagem ou registro: Aumento do uso de imagens maliciosas ou de backdoor devido a verificações insuficientes de vulnerabilidades. 3. Riscos de contêiner: Ataques crescentes visando aplicativos vulneráveis. A exploração expandida das vulnerabilidades acima em 2022 pode levar ao sequestro de recursos de terminais através de malware de mineração de criptomoedas, uso de outros recursos, roubo de dados, persistência de atacantes e fuga de contêineres para sistemas host.

Preocupação zero com dia zero

O tempo para transformar vulnerabilidades em explorações funcionais será medido em horas e não há nada que você possa fazer sobre isso... exceto aplicar patches
Por Fred House

2021 já está sendo apontado como um dos piores anos registrados em relação ao volume de vulnerabilidades de dia zero exploradas. O escopo dessas explorações, a diversidade de aplicativos visados e, em última instância, as consequências para as organizações foram todos notáveis. Em 2022, esperamos que esses fatores promovam um aumento na velocidade com que as organizações respondem.

Quando soubemos em 2020 que cerca de 17.000 clientes da SolarWinds haviam sido comprometidos e cerca de 40 haviam sido visados posteriormente, muitos reagiram em choque diante do imenso escopo do comprometimento. Infelizmente, 2021 trouxe seu próprio aumento notável de volume, acompanhado de tempos de resposta nada inspiradores por parte das organizações. Caso em questão: duas semanas de liberar o patch para corrigir o ProxyLogon, a Microsoft relatou que 30 mil servidores do Exchange ainda estavam vulneráveis (estimativas menos conservadoras estimavam 60 mil).

O ProxyShell chegou depois como o segundo maior evento do ano. Em agosto, uma apresentação da Black Hat detalhando as vulnerabilidades do Exchange Server foi seguida pelo lançamento, no dia seguinte, de uma POC de exploração, que havia sido corrigida pela Microsoft meses antes, em abril/maio. Essa análise dos dados capturados pelo Shodan uma semana após o lançamento da POC de exploração concluiu que mais de 30 mil servidores Exchange ainda estavam vulneráveis, observando que os dados podem ter sub-representado o escopo completo (ou seja, o Shodan não teve tempo de varrer a Internet inteira). Resumindo: corrigido na primavera, explorado no outono.

Então, o que aprendemos com tudo isso? Bem, atacantes e pesquisadores de segurança continuarão se aprimorando até o ponto em que explorações e POCs serão transformadas em armas em questão de horas da divulgação da vulnerabilidade. Por outro lado, no entanto, e em grande parte em decorrência do aumento das consequências de um comprometimento, também podemos esperar uma diligência renovada em torno da gestão de ativos e patches. Desde a identificação de ativos voltados ao público até a rápida distribuição de patches, apesar da potencial interrupção dos negócios, as empresas terão um foco renovado em reduzir seu “tempo para correção”. Embora novas explorações de alto impacto sejam inevitáveis, o escopo dessas explorações será reduzido à medida que as organizações reconhecerem que é possível obter uma melhor proteção através de segurança capaz de aprender e se adaptar mais rápido e eficientemente do que os malfeitores que tentam se infiltrar.