O grupo de ransomware-as-a-service (RaaS) LockBit foi responsável por 44% de todas as campanhas de ransomware neste ano, seguido por Conti (23%), Hive (21%), Black Cat (7%) e Conti Splinters (5% ), grupo composto por operadores de ameaças do Quantum, BlackBasta e BlackByte.
Os dados são do “Relatório Interino de Ameaças Cibernéticas 2022”, da Deep Instinct. “2022 foi outro ano recorde para criminosos cibernéticos e gangues de ransomware”, comentou Mark Vaitzman, líder da equipe do laboratório de ameaças da empresa de cibersegurança. “Não é nenhum segredo que esses operadores de ameaças estão constantemente aprimorando suas táticas para evitar as defesas cibernéticas tradicionais”, disse ele à Infosecurity.
O relatório também examinou as mudanças significativas no Agent Tesla, NanoCore e outros grupos de ameaças, como Emotet, começando a usar macros Visual Basic for Applications (VBA) ofuscadas para evitar a detecção.
De maneira mais geral, a pesquisa da Deep Instinct mostra que, à medida que a Microsoft começou a desabilitar macros nos arquivos do Microsoft Office, o uso de documentos para malware diminuiu como o vetor de ataque número um, substituído por LNK (arquivos de atalho do Windows), HTML e anexos de e-mail de arquivo.
Além disso, o relatório menciona que vulnerabilidades como a SpoolFool, Follina e DirtyPipe revelaram a capacidade de exploração de sistemas Windows e Linux, sugerindo que o número de falhas exploradas aumenta a cada três a quatro meses.
Outra tendência detectada pela Deep Instinct está relacionada a grupos de operadores de ameaças que utilizam exfiltração de dados em seus fluxos de ataque para exigir resgate por dados vazados. Nos casos em que dados confidenciais são exfiltrados, há menos opções de correção. Assim, vários agentes de ameaças também exigem resgates de empresas terceirizadas se os dados vazados contiverem suas informações confidenciais.
Veja isso
Lockbit pede a revenda de carros resgate de US$ 60 milhões
Vazamento expõe versões compiladas do Lockbit 3.0
O relatório também fornece três previsões para o futuro, a primeira das quais sugere que os operadores de ameaças continuarão procurando o elo mais fraco para iniciar seus ataques, seja representado por um sistema vulnerável ou um funcionário disposto a ser pago para vender acesso de dados.
A segunda previsão está relacionada ao aumento do “protesware”, a prática de autossabotagem de software e armamento com recursos de malware, e a terceira relacionada a agentes de ameaças que exploram mais vulnerabilidades não corrigidas até o final do ano.
“Os defensores devem continuar vigilantes e encontrar novas abordagens para evitar que esses ataques aconteçam”, conclui Vaitzman.O relatório do Deep Instinct surge dias depois que Ivanti publicou um documento apontando que o ransomware cresceu 466% desde 2019 e está sendo cada vez mais usado como precursor da guerra física.