Os perpetradores de ameaças continuaram sendo adversários formidáveis nos últimos meses de 2022 e o Trellix Advanced Research Center respondeu a isso acrescentando ainda mais recursos de inteligência sobre ameaças à nossa equipe de centenas de analistas e pesquisadores de segurança de elite.
Neste relatório nós compartilhamos nossa seleção líder do setor de quais perpetradores de ameaças, famílias, campanhas e técnicas favoritas predominaram durante o trimestre passado. E mais. Também expandimos nossas fontes para extrair dados de sites de vazamentos de ransomware e relatórios do setor de segurança. E conforme os recursos da Trellix crescem, o mesmo acontece com as categorias de pesquisa de ameaças, inclusive conteúdos novos sobre segurança de rede, incidentes de nuvem, incidentes de endpoint e operações de segurança.
Desde nosso último relatório sobre ameaças, o Trellix Advanced Research Center esteve envolvido em pesquisas e descobertas no mundo todo, inclusive o link de Gamaredon, os ataques cibernéticos em intensidade muito maior contra a Ucrânia no 4º trimestre, a correção de 61.000 projetos de código aberto vulneráveis e a divulgação de insights sobre as novidades em ataques do ano novo com suas Previsões sobre ameaças em 2023.
A visão geral a seguir obtida desses aperfeiçoamentos do relatório sobre ameaças é um exemplo de como o Trellix Advanced Research Center trabalha para que clientes e o setor de segurança consigam produzir resultados melhores contra as ameaças:
Ransomware
Estados-nações
Aproveitamento da funcionalidade existente (LOLBIN)
Perpetradores de ameaças
Tendências da segurança de e-mail
Segurança de rede
Telemetria de operações de segurança fornecida pela Trellix XDR
Nossa equipe do Advanced Research Center está entusiasmada por compartilhar os dados preliminares do Relatório sobre ameaças do quarto trimestre de 2022, encerrando o ano. Você verá que o relatório continua evoluindo, com a inclusão de novos dados de nossa matriz de sensores de produtos, juntamente com insights de outras fontes de dados, como sites de vazamentos de ransomware e nosso rastreamento de infraestruturas na Internet. Na Trellix, continuamos determinados em nossa missão de proteger nossos clientes contra o mal porque os perpetradores de ameaças e suas motivações nunca dão trégua e se tornam mais multifacetados. A necessidade de inteligência global sobre ameaças cresce enquanto as perspectivas geopolíticas e econômicas continuam complicadas, com um nível de incerteza maior.
Em escala global, a incerteza econômica criada pela guerra na Ucrânia provocou um choque de preços de energia que não se via desde os anos 70 e que está afetando duramente a economia mundial. A volta da guerra à Europa também serviu como alerta para aqueles que questionavam a abordagem de segurança e defesa da União Europeia e sua capacidade de defender seus interesses, particularmente no espaço cibernético. A administração dos EUA também reconheceu a necessidade de lidar com questões de competição geoestratégica, proteger infraestruturas críticas e combater a interferência e a manipulação de informações por estrangeiros. SolarWinds, Hafnium, Ucrânia e outros eventos demandaram ações bipartidárias da administração e do congresso em relação a financiamento e novos padrões de segurança baseados significativamente nos compromissos e no trabalho de governos anteriores dos EUA. Então, como essa incerteza está afetando a segurança cibernética de nossas empresas, nossas instituições públicas e privadas e nossos valores democráticos?
No trimestre passado, nossa equipe viu o uso ativo do espaço cibernético nas áreas de espionagem, guerra e desinformação por governos de países, a serviço de ambições políticas, econômicas e territoriais. A guerra na Ucrânia também provocou o surgimento de novas formas de ataques cibernéticos e os hacktivistas ficaram mais experientes e mais determinados a adulterar sites, vazar informações e executar ataques de DDoS. Enquanto isso, as formas tradicionais de ataque cibernético continuam. Golpes de engenharia social para enganar e induzir pessoas a divulgar informações confidenciais ou pessoais, como é o caso do phishing, continuam comuns.
O ransomware continuou a afligir muitas organizações no mundo todo. Tal como observamos durante a pandemia de COVID-19, os criminosos cibernéticos foram rápidos em se aproveitar de um momento de crise e incerteza. Conforme o cenário de ameaças evolui, o mesmo acontece com nossa pesquisa. Nossa missão é manter o foco em sempre aprimorar a eficácia de nossos produtos e oferecer inteligência decisiva às partes interessadas para assegurar que possam proteger o que mais importa. Neste relatório você verá o quão importante é o trabalho que fazemos para cada membro do Trellix Advanced Research Center. Não há um pesquisador ou especialista em nossa equipe que não aborde com empenho e dedicação cada um dos projetos que realizamos.
Diga-nos o que você acha deste relatório estendido e, se houver alguma área na qual você ache que nossa equipe deve se aprofundar, fale comigo ou com nossa equipe @TrellixARC no Twitter. Esperamos vê-lo na RSA de São Francisco em abril.
Os sistemas de back-end da Trellix fornecem a telemetria que utilizamos como fonte de dados para nossos relatórios trimestrais de ameaças. Nós combinamos nossa telemetria com inteligência de fontes abertas sobre ameaças e nossas próprias investigações sobre ameaças predominantes, como ransomware, atividades de governos etc.
Quando falamos em telemetria, referimo-nos a detecções, e não infecções. Uma detecção é registrada quando um arquivo, URL, endereço IP ou outro indicador é detectado por um de nossos produtos e relatado para nós.
Estamos cientes, por exemplo, de um número crescente de organizações que estão usando estruturas de teste de eficácia que distribuem amostras de malware reais. Tal uso aparece como uma detecção, mas certamente não é uma infecção.
O processo de análise e filtragem de falsos positivos na telemetria está em constante desenvolvimento, o que pode resultar em novas categorias de ameaças, em comparação com as edições anteriores.
Novas categorias de ameaças também serão acrescentadas conforme mais equipes de organização da Trellix contribuírem para este relatório trimestral.
A privacidade de nossos clientes é fundamental. Ela é importante no que se refere à telemetria e ao mapeamento com os setores e países de nossos clientes. A base de clientes difere conforme o país e os números podem mostrar aumentos que exijam análises mais detalhadas dos dados. Um exemplo: o setor de telecomunicações frequentemente se destaca em nossos dados. Isso não significa, necessariamente, que esse setor é altamente visado. O setor de telecomunicações também inclui provedores de serviços de Internet, os quais possuem espaços de endereços IP que podem ser comprados por empresas. O que isso significa? Denúncias associadas ao espaço de endereços IP do provedor aparecem como detecções de telecomunicações, mas podem ser de clientes do provedor que operam em um setor diferente.
Nesta seção oferecemos os vários insights que coletamos sobre atividade de grupos de ransomware. Essas informações são coletadas de várias fontes para proporcionar uma imagem melhor do cenário de ameaças, reduzir o viés da observação e nos ajudar a determinar qual família de ransomware foi a mais impactante no quarto trimestre de 2022. A primeira fonte é quantitativa e retrata estatísticas de campanhas de ransomware extraídas da correlação entre IOCs de ransomware e a telemetria dos clientes da Trellix. A segunda é qualitativa e mostra a análise dos vários relatórios publicados pelo setor de segurança, selecionados, triados e analisados pelo grupo Threat Intelligence. Por último, a terceira fonte é uma nova categoria que consiste no conjunto de relatórios de vítimas de ransomware extraídos de vários “sites de vazamentos” de grupos de ransomware, normalizados, aprimorados e finalmente analisados para proporcionar uma versão anonimizada dos resultados.
Ao oferecer esses diferentes pontos de vista, buscamos oferecer muitas peças do quebra-cabeça em que consiste o cenário de ameaças atual. Nenhum deles é suficiente devido às próprias limitações. Ninguém tem acesso a todos os logs de todos os sistemas conectados à Internet, nem todos os incidentes de segurança são relatados e nem todas as vítimas são extorquidas e incluídas nos sites de vazamentos. Porém, a combinação dos diversos pontos de vista pode resultar em uma compreensão melhor das várias ameaças, além de reduzir nossos próprios pontos cegos
Um julgamento informado é o que conseguimos com a combinação de dados quantitativos e qualitativos das fontes, levando em consideração possíveis desvantagens e pontos cegos.
Veja a seguir mais categorias e descobertas sobre o LockBit no quarto trimestre de 2022:
Setores mais afetados pelo LockBit 3.0 no 4⁰ trimestre de 2022
29
O setor de serviços e bens industriais foi o mais afetados pelo LockBit 3.0 no 4⁰ trimestre de 2022, segundo o site de vazamentos das vítimas do LockBit 3.0.
Países das empresas mais afetadas pelo LockBit 3.0 no 4⁰ trimestre de 2022
49
As empresas dos Estados Unidos foram as mais afetadas (49%) pelo LockBit 3.0 no 4⁰ trimestre de 2022, seguidas por empresas do Reino Unido, segundo o site de vazamentos de vítimas do LockBit 3.0.
As estatísticas seguintes baseiam-se em correlações entre nossa telemetria e nossa base de conhecimentos de inteligência sobre ameaças. Após uma fase de análise, identificamos um conjunto de campanhas com base em dados ao longo do período de tempo selecionado e extraímos suas características. As estatísticas exibidas são das campanhas, e não propriamente das detecções. Nossa telemetria global mostrou indicadores de comprometimento (IoCs) pertencentes a várias campanhas de diversos grupos de ransomware. As famílias de ransomware seguintes, com suas respectivas técnicas e ferramentas, representam as famílias mais comuns nas campanhas identificadas. Da mesma forma, os países e setores seguintes constituem os mais afetados pelas campanhas identificadas.
Famílias de ransomware mais comuns no 4º trimestre de 2022
22
Cuba foi a família de ransomware mais predominante no 4º trimestre de 2022. O ransomware Zeppelin foi frequentemente usado pela Vice Society. Leia mais sobre os vazamentos de comunicações do Yanluowang.
Ferramentas maliciosas mais frequentemente usadas por grupos de ransomware no 4º trimestre de 2022
41
Cobalt Strike foi a ferramenta maliciosa mais frequentemente usada por grupos de ransomware no 4º trimestre de 2022.
1.
Cobalt Strike
41%
2.
Mimikatz
23%
3.
BURNTCIGAR
13%
4.
VMProtect
12%
5.
POORTRY
11%
Técnicas MITRE-ATT&CK mais observadas em uso por grupos de ransomware no 4º trimestre de 2022
1.
Dados criptografados para maior impacto
17%
2.
Descoberta de informações do sistema
11%
3.
PowerShell
10%
4.
Transferência de ferramenta de ingresso
10%
5.
Windows Command Shell
9%
Ferramentas não maliciosas mais frequentemente usadas por grupos de ransomware no 4º trimestre de 2022
21
Cmd foi a ferramenta não maliciosa mais frequentemente usada por grupos de ransomware no 4º trimestre de 2022.
1.
Cmd
21%
2.
PowerShell
14%
3.
Net
10%
4.
Reg
8%
5.
PsExec
8%
Países mais afetados por grupos de ransomware no 4º trimestre de 2022
29
Os Estados Unidos foram o país mais afetado por grupos de ransomware no 4º trimestre de 2022, segundo a telemetria da Trellix.
Setores mais afetados por famílias de ransomware no 4º trimestre de 2022
29
O setor de terceirização e hospedagem foi o mais afetado por grupos de ransomware no 4º trimestre de 2022, segundo a telemetria da Trellix. Isso se correlaciona com o tamanho médio das organizações das vítimas listadas nos sites de vazamentos de ransomware, pois tais organizações não costumam ter um bloco de IPs próprio e dependem de provedores de hospedagem.
As estatísticas seguintes baseiam-se em relatórios públicos, bem como em pesquisas internas. Observe que nem todos os incidentes de ransomware são relatados. Muitas famílias de ransomware já estão ativas há bastante tempo e, naturalmente, têm menos destaque que famílias novas em trimestres específicos. Com base nesses critérios, tais métricas são uma indicação das famílias de ransomware que o setor de segurança considerou mais impactante e relevante no trimestre.
Famílias de ransomware mais comuns no 4º trimestre de 2022
15
Black Basta e Magniber foram as famílias de ransomware mais relatadas no 4º trimestre de 2022 segundo relatórios do setor de segurança.
Principais técnicas de ataque de famílias de ransomware no 4º trimestre de 2022
19
A técnica de ataque de dados criptografados para maior impacto foi a mais relatada em uso por famílias de ransomware no 4º trimestre de 2022, segundo relatórios do setor de segurança.
1.
Dados criptografados para maior impacto
19%
2.
Windows Command Shell
11%
3.
Descoberta de informações do sistema
10%
4.
Transferência de ferramenta de ingresso
10%
5.
PowerShell
10%
Principais setores visados por famílias de ransomware no 4º trimestre de 2022
16
O setor de saúde foi o mais visado pelas famílias de ransomware no 4º trimestre de 2022, segundo relatórios do setor de segurança.
Países mais visados por famílias de ransomware no 4º trimestre de 2022
19
Os Estados Unidos foram o país mais visado por famílias de ransomware no 4º trimestre de 2022, segundo relatórios do setor de segurança.
Técnicas MITRE-ATT&CK mais observadas em uso por grupos de ransomware no 4º trimestre 2022
1.
CVE-2021-31207
CVE-2021-34474
CVE-2021-34523
16%
16%
16%
2.
CVE-2021-34527
13%
3.
CVE-2021-26855
CVE-2021-27065
9%
9%
Ferramentas maliciosas usadas por famílias de ransomware relatadas no 4º trimestre de 2022
44
Cobalt Strike foi a ferramenta maliciosa mais usada pelas famílias de ransomware relatadas no 4º trimestre de 2022, segundo relatórios do setor de segurança.
1.
Cobalt Strike
44%
2.
QakBot
13%
3.
IcedID
9%
4.
BURNTCIGAR
7%
5.
Carbanak
SystemBC
7%
7%
Ferramentas maliciosas usadas por famílias de ransomware relatadas no 4º trimestre de 2022
21
PowerShell foi a ferramenta não maliciosa mais usada pelas famílias de ransomware relatadas no 4º trimestre de 2022, segundo relatórios do setor de segurança.
1.
PowerShell
21%
2.
Cmd
18%
3.
Rund1132
11%
4.
VSSAdmin
10%
5.
WMIC
9%
Os dados desta seção foram compilados extraindo-se informações em “sites de vazamentos” de vários grupos de ransomware. Os grupos de ransomware extorquem suas vítimas publicando informações sobre elas nesses sites. Quando as negociações chegam a um impasse ou as vítimas se recusam a pagar o resgate no prazo determinado pelo grupo de ransomware, este libera informações roubadas das vítimas. Nós utilizamos a ferramenta de código aberto RansomLook para coletar as várias postagens, processamos internamente os dados para normalizar e enriquecer os resultados e, com isso, oferecer uma versão anonimizada da análise de vitimologia.
É importante observar que nem todas as vítimas de ransomware são expostas nos respectivos sites de vazamentos. Muitas vítimas pagam o resgate e não são expostas. Essas métricas são uma indicação de vítimas extorquidas por grupos de ransomware ou que sofreram retaliação, não devendo ser confundidas com a quantidade total de vítimas.
Grupos de ransomware que mais fizeram vítimas no 4⁰ trimestre de 2022
26
O LockBit 3.0 representou 26% dos 10 principais grupos de ransomware, responsáveis pelo maior número de vítimas em seus respectivos sites de vazamentos, no 4⁰ trimestre de 2022.
Setores afetados por grupos de ransomware segundo sites de vazamentos no 4⁰ trimestre de 2022
32
O setor de serviços e bens industriais foi o mais afetado por grupos de ransomware segundo seus sites de vazamentos no 4⁰ trimestre de 2022. Serviços e bens industriais abrangem todos os produtos materiais e serviços não tangíveis, utilizados principalmente em construção civil e manufatura.
Países das empresas afetadas por grupos de ransomware segundo sites de vazamentos no 4⁰ trimestre de 2022
63
das 10 principais empresas relatadas por vários grupos de ransomware em seus respectivos sites de vazamentos no 4⁰ trimestre de 2022 são sediadas nos Estados Unidos, seguidas por Reino Unido (8%) e Canadá
Esta seção oferece insights que coletamos sobre atividade de grupos ligados a estados-nações. Essas informações são coletadas de várias fontes para criar uma imagem melhor do cenário de ameaças e reduzir o viés da observação. Primeiramente, apresentamos as estatísticas extraídas da correlação entre IOCs de grupos ligados a estados-nações e a telemetria dos clientes da Trellix. Em seguida, oferecemos insights de vários relatórios publicados pelo setor de segurança, os quais são selecionados, triados e analisados pelo grupo Threat Intelligence.
As estatísticas seguintes baseiam-se em correlações entre nossa telemetria e nossa base de conhecimentos de inteligência sobre ameaças. Após uma fase de análise, identificamos um conjunto de campanhas com base em dados ao longo do período de tempo selecionado e extraímos suas características. As estatísticas exibidas são das campanhas, e não propriamente das detecções. Devido a várias agregações de logs, ao uso de estruturas de simulação de ameaças por nossos clientes e a correlações de alto nível com a base de conhecimentos de inteligência sobre ameaças, os dados são filtrados manualmente para satisfazer os critérios desejados.
Nossa telemetria global mostrou indicadores de comprometimento (IoCs) relacionados a várias campanhas de grupos de ameaças persistentes avançadas (APT). Os países dos perpetradores de ameaças seguintes, bem como suas técnicas e ferramentas, constituem os mais comuns nas campanhas identificadas. Da mesma forma, os dados sobre países e setores representam os mais afetados pelas campanhas identificadas.
Países dos perpetradores de ameaças mais comuns por trás de atividades de estados-nações no 4⁰ trimestre de 2022
71
A China foi o mais frequente país de origem de perpetradores de ameaças por trás de atividades de estados-nações no 4⁰ trimestre de 2022.
Grupos de perpetradores de ameaças predominantes no 4⁰ trimestre de 2022
37
Mustang Panda foi o grupo de perpetradores de ameaças predominante no 4⁰ trimestre de 2022, segundo telemetria de estados-nações.
Técnicas MITRE ATT&CK mais comuns em atividades de estados-nações no 4º trimestre de 2022
1.
DLL Side-Loading
14%
2.
Rundll32
13%
3.
Arquivos ou informações ocultadas
12%
4.
Windows Command Shell
11%
5.
Pasta de inicialização/chaves de execução do Registro
10%
Ferramentas maliciosas mais frequentemente usadas em atividades de estados-nações no 4⁰ trimestre 2022
1.
PlugX
24%
2.
BLUEHAZE
23%
3.
DARKDEW
23%
4.
MISTCLOAK
23%
5.
Cavalo de Troia de acesso remoto ISX
2%
Ferramentas não maliciosas mais frequentemente usadas em atividades de estados-nações no 4⁰ trimestre de 2022
1.
Rundll32
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
Países das empresas afetadas por grupos de ransomware segundo sites de vazamentos no 4⁰ trimestre de 2022
55
Os Estados Unidos foram o país mais afetado por atividades de estados-nações no 4⁰ trimestre de 2022.
Países das empresas afetadas por grupos de ransomware segundo sites de vazamentos no 4⁰ trimestre de 2022
69
O setor de transportes e logística foi o mais afetado por atividades de estados-nações no 4⁰ trimestre de 2022.
Essas estatísticas baseiam-se em relatórios públicos e em pesquisas internas, e não em telemetria de logs de clientes. Observe que nem todos os incidentes de estados-nações são relatados. Muitas campanhas utilizam as mesmas ferramentas, táticas e procedimentos (TTPs) já conhecidos e menos sujeitos a serem mencionados em relatórios. O setor tende a se concentrar em campanhas mais novas nas quais um perpetrador tente algo novo ou cometa um erro. Essas métricas são uma indicação do que o setor considerou esclarecedor e relevante durante o quarto trimestre de 2022.
Países dos perpetradores de ameaças mais relatados em campanhas de estados-nações no 4⁰ trimestre de 2022
37
das campanhas de estados-nações relatadas publicamente no 4⁰ trimestre de 2022 originaram-se na China.
1.
China
37%
2.
Coréia do Norte
24%
3.
Irã
1%
4.
Rússia / Россия
1%
5.
Índia
1%
Perpetradores de ameaças mais comuns por trás de atividades de estados-nações no 4⁰ trimestre de 2022
33
Lazarus foi o perpetrador de ameaças mais predominante por trás de atividades de estados-nações no 4⁰ trimestre de 2022.
1.
Lazarus
14%
2.
Mustang Panda
13%
3.
APT34
АРТ37
APT41
COLDRIVER
Patchwork
Polonium
Side Winder
Winnti Group
1% cada
Ferramentas não maliciosas mais frequentemente usadas em atividades de estados-nações no 4⁰ trimestre de 2022
1.
Rund1132
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
Países mais visados por campanhas de estados-nações no 4⁰ trimestre de 2022
16
Os Estados Unidos foram o país mais visado por campanhas de estados-nações no 4⁰ trimestre de 2022.
Setores mais visados por campanhas de estados-nações relatadas no 4⁰ trimestre de 2022
33
O setor governamental foi o mais visado por campanhas de estados-nações no 4⁰ trimestre de 2022, seguido pelos setores militar (11%) e de telecomunicações (11%).
Ferramentas maliciosas mais populares usadas em campanhas de estados-nações no 4⁰ trimestre de 2022
1.
PlugX
22%
2.
Cobalt Strike Coreia
17%
3.
Metasploit
13%
4.
BlindingCan
9%
5.
Scanbox
ShadowPad
ZeroCleare
9% cada
Ferramentas não maliciosas mais populares usadas em campanhas de estados-nações no 4⁰ trimestre de 2022
1.
Cmd
32%
2.
Rund1132
20%
3.
PowerShell
14%
4.
Reg
8%
5.
Schtasks.exe
7%
Técnicas MITRE ATT&CK mais populares usadas em campanhas de estados-nações relatadas no 4⁰ trimestre de 2022
1.
Transferência de ferramenta de ingresso
13%
2.
Descoberta de informações do sistema
13%
3.
Arquivos ou informações ocultadas
12%
4.
Protocolos da Web
11%
5.
Decodificação/decifração de arquivos ou informações
11%
CVE-2017-11882
CVE-2020-17143
CVE-2021-44228
CVE-2021-21551
CVE-2018-0802
CVE-2021-26606
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
CVE-2021-34473
CVE-2021-28480
CVE-2021-34523
CVE-2021-28481
CVE-2015-2545
CVE-2021-28482
CVE-2017-0144
CVE-2021-28483
CVE-2018-0798
CVE-2021-31196
CVE-2018-8581
CVE-2021-31207
CVE-2019-0604
CVE-2021-40444
CVE-2019-0708
CVE-2021-45046
CVE-2019-16098
CVE-2021-45105
CVE-2020-0688
CVE-2022-1040
CVE-2020-1380
CVE-2022-30190
CVE-2020-1472
CVE-2022-41128
CVE-2020-17141
Observações e rastreamento realizados através de nossa plataforma Insights reuniram a seguinte inteligência e visibilidade sobre o cenário de ameaças no 4⁰ trimestre de 2022:
Os recém-chegados, as iniciativas isoladas e os jovens criadores de scripts que esbarram no cenário de ameaças também estão utilizando os binários já presentes em estruturas de exploração populares em suas tentativas de não serem notados ao hackear alguém ou explorar uma vulnerabilidade.
O aproveitamento da funcionalidade existente continua sendo utilizado para realizar tarefas nefastas nas fases de acesso inicial, execução, descoberta, persistência e impacto. Em dados coletados ao longo do quarto trimestre de 2022, podemos ver uma tendência continuada de técnicas de comando e script executadas por meio do shell de comandos do Windows ou do PowerShell como as mais frequentemente utilizadas.
Binários de sistema operacional predominantes no 4⁰ trimestre de 2022
47
O shell de comandos do Windows representou 47% (quase metade) dos 10 binários de sistema operacional predominantes no quarto trimestre de 2022, seguido pelo PowerShell (32%) e pelo Rundl32 (27%).
1.
Windows Command Shell
47%
2.
PowerShell
32%
3.
Rund132
27%
4.
Schtasks
23%
5.
WMI
21%
Principais ferramentas de terceiros no 4⁰ trimestre de 2022
1.
Ferramentas de acesso remoto
58%
2.
Transferência de arquivos
22%
3.
Ferramentas de exploração de postagens
20%
4.
Descoberta de rede
16%
5.
Descoberta de AD
10%
O uso por criminosos cibernéticos é predominante entre perpetradores de ameaças, inclusive por experientes ameaças persistentes avançadas, grupos com motivação financeira e hacktivistas “woke”. Os recém-chegados, as iniciativas isoladas e os jovens criadores de scripts que esbarram no cenário de ameaças também estão utilizando os binários já presentes em suas tentativas de não serem notados ao hackear alguém ou explorar uma vulnerabilidade desconhecida.
Os eventos processados através de nossa plataforma Insights nos quais perpetradores de ameaças utilizam binários do Windows levaram ao desenvolvimento de malware adicional, seja um ladrão de senhas, um cavalo de Troia para acesso remoto ou ransomware. Binários como MSHTA, WMI ou WScript podem ter sido executados para obtenção de cargas virais adicionais de recursos controlados pelo atacante.
Ferramentas de controle e acesso remoto estão consistentemente entre as ferramentas mais frequentemente aproveitadas por perpetradores de ameaças, mas as ferramentas utilizadas pelos profissionais de segurança continuam sendo aproveitadas para fins maliciosos. Os perpetradores de ameaças podem utilizá-las para manter ativos seus “beacons”, automatizar exfiltrações ou coletar e compactar as informações visadas.
Entre ferramentas gratuitas e de código aberto, os empacotadores de software são aproveitados por perpetradores de ameaças para criar pacotes de software legítimo com conteúdo malicioso ou para acondicionar malware com o intuito de contornar mecanismos de detecção ou análise.
O grupo de inteligência sobre ameaças do Advanced Research Center monitora a utilização de servidores Cobalt Strike Team (Cobalt Strike C2s) na Internet combinando metodologias de caça de infraestruturas e cargas virais. Apresentamos aqui insights de destaque identificados durante a análise dos beacons do Cobalt Strike coletados:
15
Licenças de avaliação do Cobalt Strike
Apenas 15% dos beacons do Cobalt Strike identificados na Internet tinham uma licença de avaliação do Cobalt Strike. Essa versão do Cobalt Strike inclui a maioria dos recursos conhecidos dessa estrutura de exploração de postagens. No entanto, ela acrescenta “indícios” e remove a criptografia em trânsito para tornar a carga viral mais fácil de detectar com produtos de segurança.
5
Cabeçalho HTTP de host
Pelo menos 5% dos beacons do Cobalt Strike observados utilizaram o cabeçalho HTTP de host, uma opção que facilita o “fronting” de domínio com o Cobalt Strike. Fronting de domínio é uma técnica que se aproveita de redes de entrega de conteúdo (CDNs) que hospedam múltiplos domínios. Os atacantes ocultam uma solicitação HTTPS para um site malicioso dentro de uma conexão TLS para um site legítimo.
87
Rundll32.exe
Rundll32.exe, processo padrão utilizado para sessões de disseminação e execução de trabalhos pós-exploração, foi encontrado em 87% dos beacons identificados.
22
Beacons de DNS
Beacons de DNS representaram 22% dos beacons do Cobalt Strike identificados. Esse tipo de carga viral comunica-se de volta com o servidor Cobalt Strike Team do atacante, que é o servidor oficial do domínio, por meio de consultas DNS para esconder sua atividade.
Países que mais hospedam servidores Cobalt Strike Team no 4º trimestre de 2022
50
Metade dos servidores Cobalt Strike Team detectados no quarto trimestre de 2022 foram hospedados na China, o que se deve, principalmente, ao volume de hospedagem em nuvem disponível na China.
GootLoader é um malware modular cujo nome pode ocasionalmente se referir a um outro malware identificado como “GootKit” ou “GootKit Loader”. Os atuais recursos modulares do malware GootLoader estão sendo utilizados para distribuir cargas de malware adicionais, inclusive REvil, Kronos, Cobalt Strike e Icedid.
Em eventos recentes, o GootLoader foi visto utilizando otimização de mecanismos de pesquisa (SEO) para levar usuários incautos a sites falsos ou comprometidos utilizados para hospedar um arquivo compactado contendo como carga um arquivo JS (JavaScript). Contudo, essa técnica exige que o usuário incauto abra o arquivo e execute o conteúdo, o qual por sua vez executa o código JS malicioso por meio do Windows Scripting Host. Ao ser executado, o GootLoader inicia comunicações de comando e controle e busca malware adicional.
O GootLoader é um malware como serviço (MaaS) oferecido a assinantes, o que permite aos perpetradores de ameaças carregar várias cargas virais adicionais, e isso faz com que o GootLoader constitua uma ameaça significativa a ambientes corporativos.
Com nosso rastreador interno de GootLoader, identificamos uma variante recente, encontrada na Internet em 18 de novembro de 2022, e testemunhamos variantes antigas saindo de cena em 13 de novembro de 2022. As modificações na variante mais recente consistem em:
A nova variante do Gootloader evoluiu utilizando múltiplas camadas de ocultação. Cada estágio sucessivo após a descompactação utiliza variáveis carregadas do estágio anterior, o que torna a análise mais difícil. As amostras coletadas como resultado de nossos esforços de caça YARA são fornecidas a um analisador estático de JavaScript e PowerShell para extrair IOCs como servidores de comando e controle (C&C ou C2) remotos e assinaturas de identificação exclusivas. Esses IOCs podem ser utilizados para identificar e rastrear instâncias específicas do Gootloader na Internet.
Em seguida, os IOCs do Gootloader extraídos são processados consultando-se o banco de dados da equipe de reputação de URLs da Trellix para identificar quais são maliciosos, quais são domínios legítimos potencialmente comprometidos e quais são domínios legítimos utilizados para chamar atenção e prejudicar a análise.
As estatísticas exibidas são as das campanhas identificadas pela correlação entre os IOCs extraídos e os logs de nossos clientes, e não as detecções em si. No caso do Gootloader, a maioria das detecções baseia-se em ocorrências do domínio. Como o Gootloader utiliza domínios como isca, as estatísticas mostradas devem ser interpretadas como maliciosas com um nível médio de confiança.
Países mais atingidos pelo Gootloader no 4⁰ trimestre de 2022
37
Os Estados Unidos foram o país mais atingido pelo Gootloader no 4⁰ trimestre de 2022.
1.
Estados Unidos / United States
37%
2.
Itália
19%
3.
Índia
11%
4.
Indonésia
9%
5.
França
5%
Técnicas MITRE ATT&CK mais populares utilizadas pelo Gootloader no 4º trimestre de 2022
1.
Deobfuscate/Decode Files or Information
2.
JavaScript
3.
Arquivos ou informações ocultadas
4.
PowerShell
5.
Process Hollowing
Setores mais visados pelo Gootloader no 4⁰ trimestre de 2022
56
O setor de telecomunicações foi o mais visado pelo Gootloader no 4⁰ trimestre de 2022.
Técnicas MITRE ATT&CK mais populares utilizadas pelo Gootloader no 4º trimestre de 2022
Nosso dashboard de vulnerabilidades concentra as análises das mais recentes vulnerabilidades de grande impacto. A análise e a triagem são realizadas pelos especialistas do setor em vulnerabilidades do Trellix Advanced Research Center. Esses pesquisadores, especializados em engenharia reversa e análise de vulnerabilidades, monitoram continuamente as vulnerabilidades mais recentes e como os perpetradores de ameaças as estão utilizando em seus ataques para oferecer orientações sobre remediação. Essas recomendações concisas e altamente técnicas de especialistas permitem que você separe o joio do trigo e se concentre nas vulnerabilidades mais impactantes que podem afetar a sua organização, possibilitando uma reação rápida.
41
O Lanner foi responsável por 41% dos fornecedores e produtos vulneráveis e afetados por CVEs exclusivas no 4⁰ trimestre de 2022.
29
A versão de firmware IAC-AST2500A 1.10.0 foi a CVE mais relatada das utilizadas por produtos no 4⁰ trimestre de 2022
CVEs, fornecedores e produtos vulneráveis mais impactantes no 4º trimestre de 2022
1.
Lanner
41%
2.
Microsoft
19%
3.
BOA
15%
4.
Oracle
8%
5.
Apple
Chrome
Citrix
Fortinet
Linux
4% cada
CVEs relatadas por produtos no 4º trimestre de 2022
29
A versão de firmware IAC-AST2500A 1.10.0 foi a CVE mais relatada das utilizadas por produtos no 4⁰ trimestre de 2022, seguida por servidor BOA (10%), IAC-AST2500A (6%) e Exchange (6%).
IAC-AST2500A, versão de firmware 1.10.0
9
Servidor BOA
3
Intercâmbio
3
IAC-AST2500A
1
tvOS
1
iPadOS
1
iOS
1
Windows
1
Safari
1
SQLite até 3.40.0 (inclusive)
1
Oracle Access Manager, 11.1.2.3.0, 12.2.1.3.0, 12.2.1.4.0
1
MacOs
1
Linux Kernel anterior a 5.15.61
1
Internet Explorer
1
FortiOS (ssivpna)
1
Citrix ADC/Citrix Gateway
1
Chrome, versões anteriores a 108.0.5359.94/.95
1
Servidor BOA, Boa 0.94.13
1
CVE-2022-1786
CVE-2022-41040
CVE-2022-26134
CVE-2022-41080
CVE-2022-27510
CVE-2022-41082
CVE-2022-27518
CVE-2022-41128
CVE-2022-31685
CVE-2022-41352
CVE-2022-32917
CVE-2022-42468
CVE-2022-32932
CVE-2022-42475
CVE-2022-33679
CVE-2022-4262
CVE-2022-34718
CVE-2022-42856
CVE-2022-35737
CVE-2022-42889
CVE-2022-3602
CVE-2022-43995
CVE-2022-3786
CVE-2022-46908
CVE-2022-37958
CVE-2022-47939
CVE-2022-40684
As estatísticas de segurança de e-mail baseiam-se em telemetria gerada em vários appliances de segurança de e-mail distribuídos em redes de clientes do mundo todo. Os logs de detecção são agregados e analisados para produzir as descobertas seguintes:
A copa do mundo de futebol foi disputada no 4⁰ trimestre de 2022, e os criminosos cibernéticos rapidamente se aproveitaram do maior evento de futebol do mundo para lançar inúmeras campanhas de phishing com temática de futebol contra organizações em países árabes próximos ao Catar.
100
Observou-se que o volume de e-mails maliciosos em países árabes aumentou 100% em outubro, em comparação com agosto e setembro
40
Qakbot foi a tática de malware mais utilizada, representando 40% das campanhas que visaram países árabes
42
O setor de telecomunicações foi o mais afetado por e-mails maliciosos no quarto trimestre de 2022, representando 42% das campanhas de e-mails maliciosos que visaram setores específicos
87
Os e-mails de phishing com URLs maliciosos foram, por uma grande margem, o vetor de ataque predominante no quarto trimestre de 2022
64
Os casos de impostura aumentaram 64% do terceiro para o quarto trimestre de 2022
82
de todos os e-mails de fraude de CEO foram enviados por meio de serviços de e-mail gratuitos
78
de todos os ataques de comprometimento de e-mail corporativo (BEC) utilizaram frases de CEO comuns
142
Os ataques de vishing foram predominantes no quarto trimestre de 2022, aumentando 142% em relação ao terceiro trimestre de 2022
Táticas de malware de e-mail predominantes no 4º trimestre de 2022
40
Qakbot foi a tática de malware de e-mail mais utilizada no 4º trimestre de 2022.
1.
Oakbot
40%
2.
Emotet
26%
3.
Formbook
26%
4.
Remcos
4%
5.
QuadAgent
4%
Produtos e marcas mais visados por phishing de e-mail no 4º trimestre de 2022
1.
Genérico
62%
2.
Outlook
13%
3.
Microsoft
11%
4.
Ekinet
8%
5.
Cloudfare
3%
Setores mais afetados por e-mails maliciosos no 4⁰ trimestre de 2022
42
O setor de telecomunicações foi o mais afetado por e-mails maliciosos no 4⁰ trimestre de 2022.
100
Observou-se que o volume de e-mails maliciosos em países árabes aumentou 100% em outubro, em comparação com agosto e setembro
40
Qakbot foi a tática de malware mais utilizada, representando 40% das campanhas que visaram países árabes
42
O setor de telecomunicações foi o mais afetado por e-mails maliciosos no quarto trimestre de 2022, representando 42% das campanhas de e-mails maliciosos que visaram setores específicos
“Preciso que você cuide de uma tarefa para mim imediatamente.”
“Preciso que você execute uma tarefa. Por favor, informe o seu número de celular.”
“Envie o seu número de celular. Preciso que você faça algo para mim agora mesmo.”
“Por favor, envie o seu número de celular e fique à espera de um texto meu. Preciso que você cuide de uma tarefa.”
“Por favor, confirme o seu número de celular e fique à espera de um texto meu com instruções.”
“Você recebeu meu e-mail anterior? Tenho um negócio lucrativo para você.”
Comparação de impostura no 4º trimestre de 2022
64
Os casos de impostura aumentaram 64% do terceiro para o quarto trimestre de 2022.
Vetores de ataque mais utilizados em e-mails de phishing
87
Os e-mails de phishing com URLs maliciosos foram, por uma grande margem, o vetor de ataque predominante no quarto trimestre de 2022
1.
URL
87%
2.
Anexo
7%
3.
Cabeçalho
6%
No quarto trimestre, observamos um aumento no uso de provedores de hospedagem de Web legítimos para fraudar usuários e roubar credenciais. Os provedores de serviços mais utilizados foram três. dweb.link, ipfs.link e translate.goog. Também observamos volumes significativos de outros domínios de provedores de serviços, como ekinet, storageapi_fleek e selcdn.ru. Além destes, houve alguns outros domínios de provedores de serviços, como ekinet, storageapi_fleek e selcdn.ru. Os atacantes estão utilizando continuamente serviços de hospedagem novos e populares para hospedar páginas de phishing e contornar mecanismos antiphishing. Um motivo pelo qual os atacantes aumentaram seu interesse no uso de provedores de hospedagem de Web legítimos é que esses serviços não podem ser colocados em listas negras por sistemas de detecção porque seu objetivo principal é hospedar arquivos legítimos e compartilhar conteúdo.
Provedores de hospedagem de Web altamente aproveitados no 4º trimestre de 2022
154
Embora o Dweb tenha sido o provedor de hospedagem de Web mais aproveitado no 4º trimestre de 2022, o Google Translate apresentou o maior aumento (154%) entre o terceiro e o quarto trimestre de 2022
1.
Dweb
81%
2.
Ipfs
17%
3.
Google Translate
10%
Técnicas de evasão mais utilizadas em ataques de phishing no 4º trimestre de 2022
63
Vishing é uma outra forma de phishing, desenvolvida para induzir as vítimas a se conectarem com os atacantes, principalmente pelo uso de e-mails, mensagens de texto, chamadas telefônicas ou mensagens diretas de chat.
142
Os ataques de vishing foram predominantes no quarto trimestre de 2022, aumentando 142% em relação ao terceiro trimestre de 2022.
85
Os serviços de e-mail gratuito tornaram-se favoritos dos malfeitores que utilizam vishing. Um grande percentual de ataques de vishing que detectamos (85%) no quarto trimestre de 2022 foi enviado utilizando algum tipo de serviço de e-mail gratuito.
Norton, McAfee, Geek Squad, Amazon, e PayPal foram os temas mais populares utilizados por campanhas de vishing no quarto trimestre.
A equipe de pesquisa de rede Trellix ARC concentra-se em detectar e bloquear ataques baseados em rede que ameaçam nossos clientes. Nós inspecionamos diversas áreas da cadeia de abate, inclusive reconhecimento, comprometimento inicial, comunicações de comando e controle e ferramentas, técnicas e procedimentos (TTPs) de movimentação lateral. Nossa capacidade de aproveitar as vantagens de nossas tecnologias combinadas nos dá visibilidade para detectar melhor ameaças desconhecidas.
Várias varreduras de rede são realizadas todo dia para testar máquinas acessíveis pela Internet, com o objetivo de encontrar uma possível brecha no ambiente de um cliente. Explorações antigas buscam continuamente por sistemas não corrigidos.
WebShells mais significativos utilizados como base inicial para ataques de rede no 4º trimestre de 2022
Os WebShells seguintes costumam ser utilizados em tentativas de controlar um servidor Web vulnerável.
Temos visto um grande volume de ferramentas, técnicas e procedimentos (TTPs) utilizados pelos atacantes durante a fase de movimentação lateral, inclusive o uso de ferramentas e vulnerabilidades antigas, como SCShell e PSExec.
Estas estatísticas baseiam-se em telemetria gerada por diversas instâncias do helix em nossa base de clientes. Os logs de detecção são agregados e analisados para produzir as seções seguintes:
A seção abaixo mostra os alertas de segurança mais predominantes no 4º trimestre de 2022:
EXPLOIT - LOG4J [CVE-2021-44228]
OFFICE 365 ANALYTICS [login anormal]
OFFICE 365 [phishing permitido]
EXPLOIT - FORTINET [CVE-2022-40684]
EXPLOIT - APACHE SERVER [CVE-2021-41773 - tentativa]
WINDOWS ANALYTICS [ataque de força bruta bem-sucedido]
EXPLOIT - ATLASSIAN CONFLUENCE [CVE-2022-26134]
EXPLOIT - F5 BIG-IP [CVE-2022-1388 - tentativa]
Técnicas MITRE ATT&CK mais utilizadas no 4⁰ trimestre de 2022
1.
Exploração de aplicativos acessíveis pela Internet (T1190)
29%
2.
Protocolo de camada de aplicativo: DNS (T1071.004)
Phishing (T1566)
14%
14%
3.
Manipulação de contas (T1098.001)
Força bruta (T1110)
Comprometimento ao acessar (T1189)
Execução pelo usuário: arquivo malicioso (T1204.002)
Contas válidas: contas locais (T1078,003)
7% cada
Distribuição das principais fontes de logs no 4⁰ trimestre de 2022
1.
Rede
40%
2.
27%
3.
Terminal
27%
4.
Firewall
6%
Perpetradores de ameaças mais comuns por trás de atividades de estados-nações no 4⁰ trimestre de 2022
30
Log4j foi a principal exploração observada no 4º trimestre de 2022.
1.
Log4j (CVE-2021-44228)
14%
2.
Fortinet (CVE-2022-40684)
13%
3.
Apache Server ( CVE-2021-41773)
13%
4.
Atlassian Confluence (CVE-2022-26134)
13%
5.
F5 Big-IP (CVE-2022-1388 - tentativa)
13%
6.
Microsoft Exchange (tentativa de exploração do ProxyShell)
13%
Ataques contra infraestruturas de nuvem estão sempre em alta, pois muitas empresas estão migrando de suas infraestruturas locais. Analistas da Gartner preveem que mais de 85% das organizações terão adotado o princípio de nuvem em primeiro lugar até 2025.
Ao analisar a telemetria do quarto trimestre de 2022, observamos o seguinte:
As seções abaixo descrevem brevemente os dados de telemetria de ataques baseados na nuvem contra nossa base de clientes, divididos pelos vários provedores de nuvem.
Distribuição das técnicas MITRE ATT&CK para AWS no 4º trimestre de 2022
1.
Contas válidas (T1078)
18%
2.
Modificação da infraestrutura de computação na nuvem (T1578)
12%
3.
Manipulação de contas (T1098)
9%
4.
Contas de nuvem (T1078.004)
8%
5.
Força bruta (T1110)
Incapacitação de defesas (T1562)
6%
6%
Manipulação de contas (T1098)
Política de privilégio do AWS vinculada à identidade IAM
AWS S3 - Política de exclusão de bucket
Contas válidas (T1078)
Login anômalo no console do AWS Analytics
Utilização anômala de chave de API do AWS Analytics
Comportamento anômalo de usuário do AWS GuardDuty
Acesso anônimo concedido ao AWS GuardDuty
Incapacitação de defesas (T1562)
Mudanças de política do AWS CloudTrail para o CloudTrail
Operação de exclusão de trilha do AWS CloudTrail
Credenciais nos arquivos (T1552.001)
Alerta sobre possível roubo de chaves secretas do AWS
Transferência de dados para conta de nuvem (T1527)
Exclusão de bucket S3 pelo AWS CloudTrail
Definição de permissões da ACL para bucket S3 pelo AWS CloudTrail
Definição de permissões da ACL para objeto pelo AWS CloudTrail
Principais técnicas MITRE ATT&CK para Azure no 4º trimestre de 2022
1.
Contas válidas (T1078)
23%
2.
Autenticação por múltiplos fatores (T1111)
19%
3.
Força bruta (T1110)
14%
4.
Proxy (T1090)
14%
5.
Manipulação de contas (T1098)
5%
Contas válidas (T1078)
Inscrição arriscada no Azure AD
Login no Azure de um local incomum
Login no Azure por uma conta não vista em 60 dias
Força bruta (T1110)
Múltiplas falhas de autenticação no Azure
Graph de ataques de força bruta contra o portal do Azure
Graph da distribuição das tentativas de quebra de senha
Autenticação por múltiplos fatores (T1111)
MFA do Azure negada devido a alerta de fraude
MFA do Azure negada devido a usuário bloqueado
MFA do Azure negada devido a código de fraude
MFA do Azure negada devido a aplicativo fraudulento
Serviços remotos externos (T1133)
Inscrição no Azure pela rede Tor
Manipulação de contas (T1098)
Redefinição incomum de senha de usuário do Azure
Distribuição das técnicas MITRE ATT&CK para GCP no 4º trimestre de 2022
1.
Contas válidas (T1078)
36%
2.
Execução por API (T0871)
18%
3.
Descoberta de contas (T1087.001)
Manipulação de contas (T1098)
Incapacitação de defesas (T1562)
Modificação da infraestrutura de computação na nuvem (T1578)
Serviços remotos (T1021.004)
9% cada
Contas válidas (T1078)
Criação de conta de serviço pelo GCP
Atividade anômala de GCP Analytics
Criação de chave de conta de serviço pelo GCP
Serviços remotos (T1021.004)
Regra de firewall do GCP permite todo tráfego em porta ssh
Manipulação de contas (T1098)
Política IAM de organização do GCP alterada
Descoberta de contas (T1087.001)
Alerta [“gcps net user”]"]
Transferência de dados para conta de nuvem (T1527)
Roteamento de log no GCP modificado
Modificação da infraestrutura de computação na nuvem (T1578)
Proteção contra exclusão do GCP desativada
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
Para acompanhar as ameaças mais recentes e mais impactantes identificadas pelo Trellix Advanced Research Center, confira estes recursos:
O Trellix Advanced Research Center tem a proposta mais abrangente do setor de segurança cibernética e está na vanguarda dos métodos, tendências e perpetradores emergentes em todo o cenário de ameaças. O parceiro preferencial de equipes de operações de segurança do mundo todo. O Trellix Advanced Research Center oferece inteligência e conteúdo de ponta para analistas de segurança enquanto alimenta nossa plataforma de XDR. Além disso, o grupo Threat Intelligence do Advanced Research Center oferece vários produtos e serviços de inteligência para clientes em todo o mundo.
A Trellix é uma empresa global que está redefinindo o futuro da segurança cibernética e do trabalho abnegado. A plataforma aberta e nativa de detecção e resposta estendida (eXtended Detection and Response, XDR) ajuda as organizações confrontadas pelas ameaças mais avançadas da atualidade a ter confiança na proteção e na resiliência de suas operações. A Trellix, juntamente com um amplo ecossistema de parceiros, acelerou a inovação tecnológica através de autoaprendizagem e automação para capacitar mais de 40.000 clientes corporativos e governamentais com uma segurança viva.
Inscreva-se para receber informações sobre ameaças
Este documento e as informações nele contidas descrevem a pesquisa de segurança de computadores apenas para fins educativos e para a conveniência dos clientes da Trellix. A Trellix realiza pesquisas em conformidade com sua política razoável de divulgação de vulnerabilidades | Trellix. Qualquer tentativa de recriar parte de ou todas as atividades descritas se dará unicamente sob o risco do usuário, sem qualquer responsabilidade da Trellix e de suas afiliadas.
Trellix é marca comercial ou registrada da Musarubra US LLC ou de suas empresas associadas nos EUA e em outros países. Os outros nomes e marcas podem ser propriedade de terceiros.