CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

2022: Ransomware, exploit usado como arma e muito mais

Da Redação
06/12/2021

Linchamentos virtuais, ransomware, ataques cada vez mais comoditizados à cadeia de suprimentos, exploits de firmware usados como armas, ataques mirando o trabalho híbrido… A lista de ameaças parece não ter fim e o panorama e a sofisticação dos ciberataques prometem evoluir a um ritmo preocupante no próximo ano, preveem especialistas e consultores, que têm refletido sobre o que 2022 nos reserva. 

A HP compilou as visões de oito especialistas em segurança da empresa, que identificaram quatro grandes tendências as quais a empresas devem ficar alertas. Os especialistas são Michael Heywood, chefe de segurança de cadeia de suprimentos; Joanna Burkey, CISO; dr. Ian Pratt, chefe global de segurança para sistemas pessoais; Patrick Schläpfer, analista de malware; Alex Holland, analista sênior de malware; Julia Voo, líder global de políticas de cibersegurança e tecnologia; e Michael Howard, chefe de práticas de segurança analítica; além de Robert Masse, membro do conselho consultivo de segurança da HP e associado da Deloitte.

Confira as quatro grandes tendências para estar alerta:

  1. A “comoditização” crescente dos ataques à cadeia de suprimentos de software pode fazer com que vítimas de maior destaque se tornem alvos

Os ataques à cadeia de suprimentos provavelmente vão continuar em 2022. Segundo Michael Heywood, “veremos ataques à cadeia de suprimentos continuarem crescendo no próximo ano, à medida que agentes de ameaças procuraram elos vulneráveis nas cadeias de suprimentos de software, mirando programas de utilização global ou usados por uma companhia específica”.

Para Joanna Burkey, essa abordagem pode criar mercados em larga escala para operadofres de ameaças. “Com a violação na Kaseya [que impactou mais de 1.500 empresas], vimos que os ataques à cadeia de suprimentos podem compensar financeiramente. Isso pode levar à contínua “comoditização” de táticas, técnicas e procedimentos (TTPs) usados para realizar tais ataques. Isso só coloca mais lenha na fogueira, dando aos hackers uma motivação mais que suficiente para explorar cadeias de suprimentos de software no próximo ano”, explica.

Ian Pratt afirma que tanto pequenas e médias empresas (PMEs) quanto vítimas de maior porte podem se tornar alvos. “A Kaseya demonstrou um caminho para a monetização de violações de fornecedores independentes de software (ISVs). Isso pode ser um alerta para todos os ISVs de que, mesmo se sua base de clientes não for composta por empresas e governos, ainda assim podem cair na mira de invasores que querem explorar seus parceiros. Agora que esse esquema está estabelecido, talvez vejamos esse tipo de ataque se disseminar, mirando tanto PMEs quanto nomes maiores.”

Alguns segmentos de mercado são alvos preferenciais aos ataques à cadeia de suprimentos do que outros, como explica Robert Masse. “Instituições de saúde, bem como empresas do setor de energia e recursos (E&R), que usam muitos hardware e software diferentes, de vários fornecedores, serão alvos interessantes para ataques à cadeia de suprimentos de software. A integridade dessa cadeia será vital em 2022, quando os invasores começarem a lançar ataques com mais rapidez do que as organizações conseguem investir em ciclos seguros de desenvolvimento de software.”

As organizações também devem estar atentas à ameaça imposta por vulnerabilidades em programas de código aberto. “Veremos um aumento de códigos maliciosos nos pacotes de software de código aberto. Os agressores vão injetar proativamente novas ameaças em bibliotecas que abastecem as cadeias de suprimentos de softwares. Isso pode fazer com que mais companhias sejam comprometidas, independentemente de terem um perímetro seguro ou uma boa postura geral”, explica Patrick Schläpfer.

2. Gangues de ransomware podem colocar vidas em risco e realizar “linchamentos” virtuais 

O ransomware vai continuar sendo um grande risco em 2022, com vítimas potencialmente sendo atacadas mais de uma vez. “O que veremos será algo semelhante a ‘linchamentos nas redes sociais’, com vítimas de ransomware sendo alvo de operadores de ameaças reiteradamente. Uma vez que uma organização tenha se mostrado vulnerável, outros vão promover linchamento para tirar vantagem. Em alguns casos, agentes de ameaças vão atingir uma empresa várias vezes com extorsões duas ou até três maiores”, destaca Burkey.

Os métodos de extorsão também podem atingir para além da vítima conforme os grupos de ransomware aumentarem as pressões, segundo Alex Holland. “Os operadores de ransomware vão, quase com certeza, intensificar as maneiras com que pressionam as vítimas a pagar o que exigirem. Além de websites de vazamento de dados, os agressores estão usando métodos de extorsão cada vez mais variados, tais como telefonemas anônimos e contatos com clientes e parceiros comerciais das organizações que são suas vítimas”, afirma. Já Heywood ressalta que as gangues de ransomware não vão apenas criptografar dados, mas também roubá-los, apertando ainda mais as vítimas: “Como vimos neste ano, os agentes de ameaças vão continuar roubando dados antes de criptografar dispositivos, pressionando as vítimas a pagar resgates para descriptografarem sistemas e evitarem a divulgação dos dados sequestrados.”

Os operadores de ameaças também podem focar em públicos e casos de uso específicos. “Os agressores perceberam que atacar certos mercados aumenta as chances de pagamento. Talvez vejamos mais ataques contra organizações de saúde e do setor de energia e recursos (E&R). Agentes de ameaças podem muito bem mirar dispositivos de alto risco, tais como sistemas essenciais de suporte médico e sua infraestrutura de apoio, cujo risco de danos substanciais é maior e, portanto, com pagamento rápido. Isso já começou a acontecer em regiões como o Canadá, com cirurgias sendo adiadas devido a ataques de ransomware”, exemplifica Masse.

Veja isso
Brasil entra em 2022 com alto risco cibernético
Ameaça em 2022 é o cibercrime interconectado

A tendência de cooperação entre agressores também vai continuar no próximo ano, como explica Pratt. “Temos visto que os operadores de ameaças estão dispostos a cooperar nos ataques. Existe um mercado vibrante de crime cibernético, fomentando uma cadeia de suprimentos criminosa que permite que até mesmo agressores pouco sofisticados obtenham as ferramentas e os serviços necessários para lançar campanhas bem-sucedidas. Os fornecedores podem se especializar em roubo de credenciais, criação de exploits, redação de e-mails enganosos ou hospedagem de serviços de backend. Enfim, a disponibilidade de ferramentas e expertise está fazendo a sofisticação de ataques criminosos aumentar.”

3. “Armamentização” dos ataques de firmware vão torná-los mais fáceis 

Também é possível que comecemos a ver a disseminação de ataques de firmware desenvolvidos com viés nacionalista, o que vai mostrar o caminho para grupos de crime cibernético “armamentizarem” as ameaças. “O firmware oferece uma oportunidade fértil para agressores que buscam manter ameaças no longo prazo ou perpetrar ataques destrutivos. A segurança do firmware é frequentemente negligenciada pelas organizações, com níveis muito mais baixos de reparação constatados”, explica Pratt. “No último ano, também vimos agressores fazendo reconhecimento de configurações de firmware, provavelmente um prenúncio de que vão explorar isso em ataques futuros. Nos próximos 12 meses, TTPs para atingir firmware de PCs podem se disseminar, abrindo a porta para grupos de crime cibernético mais sofisticados ‘armamentizarem’ as ameaças e criarem um roteiro para a monetização de ataques.”

Masse acredita que a falta de visibilidade e controle em relação à segurança de firmware vai exacerbar o problema. “Certos setores em que esses ataques são mais prováveis devem começar a pensar sobre os riscos apresentados pela armamentização de malware e de exploits no nível do hardware. Eles são muito difíceis de detectar, mesmo nas melhores hipóteses. Processos nocivos e desvios no mapeamento de memória serão assuntos relevantes em 2022, e veremos agentes de ameaças mirando CPUs, BIOS e microcódigos como parte de uma cadeia de ataque revisada para ataques de ransomware”, avalia.

Os decisores precisarão ficar atentos a essa tendência e fazer mudanças. “A ‘armamentização’ de exploits no nível do hardware significa que os tomadores de decisão devem intervir para desenvolver padrões que possam ajudar a melhorar a segurança de firmware. Trabalhando com o mercado em uma abordagem de baixo para cima, eles conseguirão promover mudanças significativas em uma área que tem sido grandemente negligenciada”, diz Julia Voo.

4. Trabalho híbrido e eventos esportivos vão criar mais oportunidades para atacar usuários

A distribuição de equipes em modelos híbridos de trabalho significa que o gerenciamento de identidade continuará sendo fundamental. “A identidade deve ser sólida, verificada e robusta. As organizações precisam se certificar de que cada ação originada em um endpoint seja autêntica. É realmente o usuário que está realizando essas ações? Ele é quem diz ser? Muitas organizações acham que estar atrás de um firewall é o suficiente para manter um endpoint protegido, mas isso não é verdade. Na era do trabalho híbrido, o gerenciamento de identidade é mais importante do que nunca”, enfatiza Burkey.

Segundo Michael Howard, a adoção do trabalho híbrido também continuará gerando problemas para a segurança organizacional. “Cada empregado continua sendo um alvo de ataque, com o volume de dispositivos não gerenciados e inseguros criando uma superfície imensa de ataque a ser defendida”, afirma. Masse acredita que isso possa facilitar para os agressores irem atrás de funcionários de alto escalão. “Agentes de ameaças podem começar a mirar as redes domésticas e pessoais de altos executivos e até mesmo de autoridades governamentais, uma vez que essas redes são mais fáceis de corromper do que os ambientes corporativos tradicionais.”

O phishing seguirá como uma ameaça constante na era do trabalho híbrido. “Os funcionários têm usado dispositivos pessoais para trabalhar ou dispositivos corporativos para atividades pessoais, como checar e-mail. Isso vai continuar, e provavelmente haverá um aumento nos ataques de phishing contra contas de e-mail tanto corporativas como pessoais. Isso basicamente dobra as chances de os agressores lançarem ataques bem-sucedidos, então as organizações precisam ensinar a força de trabalho sobre os riscos de seu comportamento e reforçar os controles técnicos para prevenir comprometimentos”, explica Pratt.

Grandes eventos esportivos também vão apresentar novas oportunidades para os agressores mirarem usuários, segundo Schläpfer. “As Olimpíadas de Inverno em Pequim e a Copa do Mundo da Fifa no Qatar darão bastante margem para os agentes de ameaças explorarem. Eventos grandes como esses atraem agressores oportunistas, seja para ataques diretos a organizações, patrocinadores, participantes e torcedores, seja como iscas de phishing para campanhas de malware e ransomware direcionadas a usuários. Tanto organizações quanto indivíduos precisam estar atentos aos riscos”, explica.

Segundo Pratt, como resultado disso tudo, é preciso proteger o trabalho de um jeito totalmente diferente. “As organizações devem adotar uma nova abordagem de arquitetura de segurança que ajude a mitigar riscos e promover resiliência. Aplicando princípios de confiança zero — acesso privilegiado reduzido ao mínimo, isolamento, controle obrigatório de acesso e gerenciamento robusto de identidade —, as organizações poderão reduzir drasticamente a superfície de ataque e proteger o futuro do trabalho.”

Compartilhar: