Aos poucos, os operadores de ameaças estão abandonando os golpes de phishing tradicionais e passando a explorar cada vez mais vulnerabilidades em sistemas de computador para obter acesso inicial à rede, de acordo com o relatório M-Trends 2024 da Mandiant.
No ano passado, os cibercriminosos obtiveram acesso inicial a redes por meio da exploração de vulnerabilidades em 38% dos casos, um aumento de 6% em relação ao ano anterior.
A Mandiant também descobriu que a predominância de phishing diminuiu de 22% em 2022 para 17% no ano passado. No entanto, ainda foi o segundo vetor de acesso inicial mais comum verificado pela empresa de segurança cibernética do Google. Os pesquisadores observaram 97 vulnerabilidades únicas de dia zero exploradas em 2023, um aumento de 56% na comparação com 2022.
Os grupos chineses de ciberespionagem foram os mais prolíficos a explorar o dia zero, principalmente para coleta de informações visando obter vantagem estratégica. Vulnerabilidades desconhecidas pelos fornecedores de software podem fornecer acesso de longo prazo a sistemas e dados confidenciais. Além disso, cibercriminosos com motivação financeira continuaram a utilizar bugs de dia zero para se infiltrar em sistemas e roubar dados financeiros.
A vulnerabilidade visada com mais frequência observada pela Mandiant em 2023 foi o CVE-2023-34362, uma falha de injeção SQL de alto risco no MOVEit Transfer. Em seguida aparece o CVE-2022-21587, uma vulnerabilidade crítica de upload de arquivo não autenticado no Oracle E-Business Suite. Em terceiro lugar vem o CVE-2023-2868, uma falha crítica de injeção de comando nos Barracuda Email Security Gateways.
Veja isso
Hackers usam novo método para espalhar trojan de acesso remoto
Hackers exploram bug crítico em firewall da Palo Alto Networks
A Mandiant observa que mudança para a exploração de vulnerabilidades de software exige uma abordagem mais sofisticada por parte dos invasores, em comparação com os tradicionais ataques de phishing do tipo “spray and hope”. Mas isso não significa que os cibercriminosos terão dificuldades para encontrar um caminho para atacar.
Outro dado que chama atenção no relatório da Mandiant diz respeito ao tempo de permanência do invasor. Segundo o estudo, o período de permanência do hacker, desde o comprometimento até a detecção, caiu para apenas dez dias em 2023, contra 16 dias em 2022.
Embora isso demonstre avanços nas capacidades de detecção, a Mandiant alerta que o crescimento dos ataques de ransomware em 2023 ajudou a reduzir o tempo de permanência, já que os operadores de ameaças queriam que sua presença fosse conhecida para iniciar negociações de extorsão.
