Os ataques cibernéticos se intensificaram no primeiro semestre deste ano, em decorrência principalmente da invasão da Ucrânia pela Rússia, e nada indica que irão arrefecer. Um forte indício dessa tendência pode ser verificado no relatório do FortiGuard Labs, braço de pesquisa e inteligência contra ameaças da Fortinet, o qual indica que no primeiro semestre houve um aumento de quase 100% nas variantes de ransomware.
Para Derek Manky, estrategista-chefe de segurança e vice-presidente global de inteligência em ameaças do FortiGuard, é fundamental que os CISOs estejam informados sobre as pesquisas de ameaças mais recentes para garantir que estão implementando as melhores soluções de prevenção e proteção contra ransomware.
Nesta entrevista, além de recomendar que os CISOs busquem mais informações, Manky dá um panorama do cenário de ameaças e de sua evolução, fala sobre o surgimento de novas variantes de ransomware e indica como as empresas devem se preparar para enfrentar uma nova era de ciberameaças. A seguir, os principais trechos da entrevista.
P: Quais são as principais descobertas do relatório de ameaças?
Manky: Há muitos dados interessantes, mas alguns que destaco quando falo com CISOs são as novas táticas e técnicas focadas no endpoint e a evolução do ransomware. A análise de vulnerabilidades de endpoint por volume e detecções revela uma incansável tentativa dos cibercriminosos em obter acesso por meio de vulnerabilidades antigas e novas. Embora nunca possamos realmente prever qual será o próximo alvo dos criminosos, isso nos dá um bom indicativo sobre onde os criminosos começam a farejar e estão chegando mais perto. Isso é extremamente útil para os CISOs revisarem.
O relatório constatou que, entre as oito principais táticas e técnicas focadas no endpoint, a evasão de defesa foi, de longe, a tática mais empregada pelos desenvolvedores de malware. Eles estão tentando escapar das defesas mascarando-as e tentando ocultar comandos para realizar ações maliciosas e, de fato, adicionando mais e mais formas de executar essa tática. Isso é significativo porque existe uma correlação direta com a forma como os CISOs precisam pensar sobre suas estratégias de segurança cibernética.
Outra descoberta do nosso relatório é que as ameaças de ransomware continuam a evoluir com mais variantes habilitadas pelo ransomware-as-a-service (RaaS). Isso é significativo porque nos últimos seis meses, o FortiGuard Labs registrou um total de 10.666 variantes de ransomware, na comparação com apenas 5.400 nos seis meses anteriores. O RaaS, com sua popularidade na dark web, continua a alimentar uma indústria de criminosos que forçam as organizações a considerarem acordos de ransomware e se protegerem contra técnicas em evolução.
P: Por que as variantes de ransomware estão crescendo?
Manky: Existem três razões principais para o crescimento das variantes de ransomware. Como falei anteriormente, o RaaS se tornou muito popular na dark web e alimenta a indústria do cibercrime. Além disso, o ransomware se mostrou um tipo de ataque muito lucrativo, e os grupos que operam esse tipo de ameaça passaram a investir recursos significativos em novas técnicas de ataque. Como também citei, a principal tática que vemos os cibercriminosos empregarem é a evasão de defesa e, com a evasão de defesa, vêm mais variantes.
P: O estudo revela também uma evolução do malware do tipo wiper. Por que ele está se tornando mais comum?
Manky: A guerra na Ucrânia levou a um aumento substancial do malware de limpeza de disco [wiper] entre os operadores de ameaças, visando principalmente as infraestruturas críticas. Identificamos ao menos sete novas variantes principais de wipers nos primeiros seis meses deste ano, que foram usadas em várias campanhas contra organizações governamentais, militares e privadas. Esse número é significativo porque é próximo ao número de variantes de wipers que foram detectadas publicamente desde 2012. Além disso, os wipers não permaneceram em uma localização geográfica, mas foram detectados em 24 países do mundo, além da Ucrânia. As tendências de malware wiper revelam uma evolução perturbadora de técnicas de ataque mais destrutivas e sofisticadas, que usam software malicioso para destruir dados.
P: Diante desse cenário, o que os CISOs podem fazer para proteção e prevenção dos ambientes de TI, principalmente contra o ransomware?
Manky: Quando os CISOs têm uma compreensão mais profunda das metas e táticas usadas pelos cibercriminosos por meio de relatórios e inteligência contra ameaças, eles podem alinhar de forma melhor as defesas para se adaptar e reagir proativamente às técnicas de ataque que mudam rapidamente. Além disso, os insights sobre ameaças são essenciais para ajudar a priorizar estratégias de patches para ambientes mais seguros. Esses insights também podem alimentar a conscientização e o treinamento em segurança cibernética dos funcionários, que também são muito importantes.
Do ponto de vista da tecnologia, há algumas coisas que vêm à mente, mas a inteligência artificial (IA) e o machine learning em geral são essenciais para combater as explorações atuais. A detecção e resposta de rede com IA de autoaprendizagem é útil para detectar de forma mais eficiente as intrusões. O emprego de plataformas integradas de segurança cibernética orientadas por IA e machine learning com recursos avançados de detecção e resposta alimentados por inteligência de ameaças acionável é importante para proteger todas as bordas das redes híbridas.
Visibilidade, proteção e remediação em tempo real, combinadas com o Zero Trust Network Access (ZTNA) e a detecção e resposta avançada de endpoint (EDR) também são fundamentais. A tecnologia avançada de endpoint pode ajudar a mitigar e remediar efetivamente os dispositivos infectados no estágio inicial de um ataque.
Outra medida indispensável é a segmentação, pois ela pode ajudar a limitar a propagação de um ataque e também limitar o movimento lateral do invasor, algo que vimos em nosso relatório como um objetivo principal à medida que o trabalho remoto e híbrido continua. Serviços como o de proteção contra riscos digitais podem ser usados para fazer avaliações externas de ameaças de superfície, localizar e corrigir problemas de segurança e ajudar a obter insights contextuais sobre ameaças atuais e iminentes.
Por fim, é fundamental a conscientização e o treinamento em segurança cibernética de forma periódica à medida que o cenário de ameaças muda constantemente e os funcionários e as equipes de segurança precisam estar atualizados.
P: O que mais os CISOs devem considerar ao pensar em proteção e prevenção contra ransomware?
Manky: Em alto nível, os criminosos cibernéticos estão avançando em suas técnicas para evitar as defesas e escalar as redes de afiliados para maximizar os lucros com o RaaS. Mas eles também estão usando estratégias de execução agressivas, como extorsão ou limpeza de dados, além de se concentrarem em táticas de reconhecimento pré-ataque para garantir maior retorno sobre o investimento em ameaças. Velocidade, sofisticação e escala são realidades que os CISOs precisam abordar.