Um estudo recente divulgado pelo FortiGuard Labs, da Fortinet, revela que a maioria dos ataques começou em média 4,76 dias após a divulgação pública de novas explorações. Intitulado “Relatório do Cenário Global de Ameaças do 2º semestre de 2023”, o documento traz um retrato do cenário de ameaças ativas e destaca as tendências de julho a dezembro de 2023, incluindo análises sobre a velocidade com que os invasores cibernéticos estão capitalizando as explorações identificadas recentemente de todo o setor de segurança cibernética e o aumento da atividade direcionada de ransomware e wiper contra o setor industrial e de OT.
O FortiGuard Labs procurou determinar quanto tempo leva para uma vulnerabilidade passar da versão inicial para a exploração, se as vulnerabilidades com uma pontuação alta do Exploit Prediction Scoring System (EPSS) são exploradas mais rapidamente e se poderia prever o tempo médio de exploração usando dados do EPSS. Com base nessa análise, o segundo semestre de 2023 viu os invasores aumentarem a velocidade com que capitalizaram em cima de vulnerabilidades recentemente divulgadas — 43% mais rápido do que no primeiro semestre de 2023. Isso destaca a necessidade de os fornecedores se dedicarem a descobrir internamente vulnerabilidades e desenvolver correções antes que a exploração possa ocorrer (mitigar instâncias de vulnerabilidades de dia zero).
Também reforça que os fornecedores devem divulgar as vulnerabilidades aos clientes de forma proativa e transparente para garantir que tenham as informações necessárias para proteger eficazmente os seus ativos antes que os adversários cibernéticos possam explorar as vulnerabilidades n-day.
Vulnerabilidades n-day sem correção
Os CISOs e as equipes de segurança não devem se preocupar apenas com as vulnerabilidades identificadas recentemente. A telemetria da Fortinet descobriu que 41% das organizações detectaram explorações de assinaturas com menos de um mês e quase todas as organizações (98%) detectaram vulnerabilidades N-day que existem há pelo menos cinco anos. O FortiGuard Labs continua a observar agentes de ameaças explorando vulnerabilidades com mais de 15 anos, reforçando a necessidade de permanecer vigilante sobre a higiene da segurança e um alerta contínuo para que as empresas ajam rapidamente por meio de um programa consistente de correção e atualização, empregando as melhores práticas e orientações de organizações como a Network Resilience Coalition para melhorar a segurança geral das redes.
Amostras de ransomware e wiper miram setores industriais:
Em todos os sensores da Fortinet, as detecções de ransomware caíram 70% em comparação com o primeiro semestre de 2023. A desaceleração observada no ransomware no último ano pode ser mais bem atribuída ao fato de os invasores terem se afastado da estratégia tradicional de “espalhar e orar” (spray and pray) para uma abordagem mais direcionada, voltada principalmente para os setores de energia, saúde, manufatura, transporte, logística e automotivo.
Grupos de ameaças persistentes avançadas (APT) ativos
A inteligência do FortiRecon, serviço de proteção de risco digital da Fortinet, indica que 38 dos 143 grupos que o MITRE rastreia estavam ativos no segundo semestre de 2023. Destes, o Lazarus Group, Kimusky, APT28, APT29, Andariel e OilRig foram os mais ativos. Dada a natureza direcionada e as campanhas relativamente curtas dos grupos cibernéticos da APT e de estado-nação em comparação com as campanhas prolongadas e de longa duração dos cibercriminosos, a evolução e o volume de atividade nessa área é algo que o FortiGuard Labs rastreará continuamente.
Veja isso
Caça a vulnerabilidades começa 15 minutos após publicação
Cryptojacker rouba credenciais da AWS no GitHub em 5 minutos
Discurso da dark web
O relatório também inclui descobertas do FortiRecon, que dão uma ideia do discurso entre agentes de ameaças em fóruns da dark web, mercados, canais do Telegram e outras fontes. Algumas das descobertas incluem:
- Operadores de ameaças discutiram com mais frequência o direcionamento às organizações do setor financeiro, seguido pelos setores de serviços empresariais e de educação.
- Mais de 3 mil violações de dados foram compartilhadas em importantes fóruns da dark web.
- 221 vulnerabilidades foram discutidas ativamente na darknet, enquanto 237 vulnerabilidades foram discutidas nos canais do Telegram.
- Mais de 850 mil cartões de pagamento foram anunciados para venda.