Hackers patrocinados por Estados-nação e gangues de ransomware estão implantando um arsenal de novas ferramentas de código aberto, explorando ativamente sistemas de e-mail corporativos e usando a extorsão online para intimidar as vítimas e fazer com que paguem resgates. É o que revela o estudo 2020 Cyber Threatscape da Accenture.
Produzido anualmente pela Accenture Security, braço da consultoria voltado à segurança cibernética, o estudo analisa as táticas, técnicas e procedimentos usados por alguns dos mais sofisticados hackers do mundo, além de examinar a evolução desses incidentes ao longo do ano seguinte. O estudo conta com análises da Context Information Security e da Deja vu Security, empresas especializadas em segurança e adquiridas pela Accenture em março deste ano e junho de 2019, respectivamente.
“A pandemia de covid-19 mudou radicalmente as nossas vidas e a forma como trabalhamos. Da mesma forma, os inimigos cibernéticos mudaram suas táticas e se aproveitam cada vez mais das nossas novas vulnerabilidades”, explica Josh Ray, líder global da prática de ciberdefesa da Accenture Security. “O estudo deixa claro que as organizações não devem subestimar a ousadia dos cibercriminosos, já que as oportunidades e recompensas advindos dessas campanhas são cada vez maiores. É importante que as empresas se esforcem para acionar os procedimentos corretos e usem a inteligência sobre ameaças cibernéticas para compreender e eliminar as ameaças mais complexas.”
Identidades mascaradas
Ao longo deste ano, os analistas de inteligência de ameaças cibernéticas da Accenture observaram grupos criminosos suspeitos, tanto independentes quanto patrocinados por governos, usando uma combinação de ferramentas prontas para uso — incluindo ferramentas de “living on the land”, infraestrutura de hospedagem compartilhada e código de exploração desenvolvido publicamente —, além de ferramentas para testes de penetração de código aberto em escala inédita para a realização de ataques cibernéticos e ocultação de rastro.
Um exemplo é o rastreamento de padrões e atividades de um grupo de hackers sediado no Irã chamado Sourface (também conhecido por Chafer e Remix Kitten). Ativo desde 2014, o grupo é conhecido por seus ataques cibernéticos nos setores de óleo e gás, comunicações, transportes e vários outros em países como EUA, Israel, Europa, Arábia Saudita e Austrália.
Veja isso
Ciberataques de estados-nação terão alta, diz especialista
Ransomware: da invasão ao resgate em menos de 45 minutos
Os analistas da Accenture observaram o Sourface usando funções legítimas do Windows e ferramentas de fácil acesso como Mimikatz para despejo de credenciais. Trata-se de uma técnica usada para roubar credenciais de autenticação do usuário, como nomes de usuário e senhas, permitindo que invasores escalem privilégios ou se movam pela rede a fim de comprometer outros sistemas e contas enquanto se disfarçam de usuários válidos.
De acordo com o estudo, é altamente provável que atores sofisticados, incluindo grupos criminosos organizados e patrocinados por governos, continuarão a usar ferramentas de teste de penetração e de prateleira no futuro próximo, já que são fáceis de usar, eficazes e de baixo custo.
O relatório observa como um grupo conhecido realizou ataques de grande proporção a sistemas de suporte ao Microsoft Exchange e Outlook Web Access e, em seguida, usou esses sistemas comprometidos como base dentro do ambiente da vítima para ocultar o tráfego, retransmitir comandos, comprometer e-mails, roubar dados e coletar credenciais para fins de espionagem. O grupo, que foi chamado de Belugsturgeon (também conhecido como Turla ou Snake) pela Accenture, opera a partir da Rússia e está ativo há mais de dez anos, além de estar associado a numerosos ataques cibernéticos a agências governamentais, empresas de pesquisas em política externa e think tanks do mundo todo.
Modelo de negócio lucrativo e escalável
Em 2019, o ransomware tornou-se rapidamente um modelo de negócios extremamente lucrativo, com cibercriminosos levando a extorsão online a um novo nível, ameaçando liberar publicamente dados roubados ou vendê-los e expor as vítimas em sites dedicados a isso. Os criminosos por trás das correntes de ransomware Maze, Sodinokibi (também chamado de Revilo) e DoppelPaymer são os pioneiros dessa tática que ganha cada vez mais adeptos por entregar ganhos mais altos, resultando em uma onda de copycats e novos atores de ransomware.
Além disso, no início deste ano os especialistas viram a chegada do terrível ransomware LockBit. Além de copiar a tática de extorsão, a organização chamou a atenção graças ao seu recurso de autopropagação que rapidamente infecta outros computadores em uma rede corporativa. As motivações por trás do LockBit também parecem ser financeiras. Os analistas da Accenture rastrearam os cibercriminosos nos fóruns da dark web, onde costumam anunciar atualizações regulares e melhorias para o ransomware, além de recrutar ativamente novos membros prometendo uma parte do dinheiro do resgate.
O sucesso desses métodos de extorsão de hack-and-leak, especialmente contra organizações maiores, indica um possível aumento até o final deste ano, além de tendências de hacking em 2021. Na verdade, os analistas da Accenture observaram campanhas de recrutamento em um fórum popular da dark web dos atores de ameaças por trás do Sodinokibi.