O relatório anual State of the Threat Report da Secureworks indica que metade de todas as implantações de ransomware acontecem dentro de um dia após o acesso inicial. Isso significa que os operadores de ameaças podem progredir do início do ataque para o comprometimento completo do sistema em menos de 24 horas, reduzindo drasticamente a janela de detecção para as empresas.
O estudo foi compilado pela Secureworks Counter Threat Unit (CTU) e identifica as principais estratégias empregadas por cibercriminosos e operadores de ameaças patrocinados por Estados-nação em ataques cibernéticos. As descobertas incluem um aumento nos ataques de “nome e vergonha” em que os detalhes das vítimas são vazados online. Estes foram em grande parte impulsionados pela proliferação de gangues de ransomware como Lockbit e Clop. A Rússia tem direcionado ataques a campanhas de ajuda humanitária, pesquisadores científicos e fornecedores de armas.
O tempo médio de permanência do ransomware — entre o acesso inicial ao sistema e a implantação do ransomware — caiu de 4,5 dias para menos de um dia em um ano, de acordo com o relatório. Em alguns casos, o ransomware foi implantado dentro de cinco horas após o acesso inicial. Essa redução significativa é atribuída a estratégia entre os cibercriminosos de uma menor chance de detecção, já que os operadores de ameaças agora se concentram em operações mais simples e rápidas, em vez de eventos de criptografia complexos em toda a empresa.
No entanto, o risco associado a esses ataques continua alto, de acordo com Don Smith, vice-presidente de inteligência de ameaças da CTU da Secureworks. Ele também observa que, apesar das remoções e sanções de alto perfil, os cibercriminosos continuam a se adaptar e representam uma ameaça significativa.
Enquanto operadores de ameaças notórios como Gold Mystic (Lockbit) ainda dominam o cenário de ransomware, novos grupos estão surgindo, trazendo um aumento significativo de vítimas e vazamentos de dados. Isso tornou os últimos quatro meses o período mais movimentado para o número de vítimas desde o início dos ataques de “nome e vergonha” em 2019.
O relatório identifica os três principais vetores de acesso inicial usados pelos invasores como varredura e exploração, credenciais roubadas e malware de commodities transmitido por meio de e-mails de phishing. Mais da metade das vulnerabilidades mais exploradas durante o período do relatório foram vulnerabilidades conhecidas de 2022 e anos anteriores.
Veja isso
Ataques a PMEs elevam em 47% total de vítimas de ransomware
Maioria das empresas que usam RDP está exposta a ransomware
Apesar de muita discussão sobre ataques baseados em inteligência artificial (IA), a maioria dos ataques de alto perfil neste foi devido à infraestrutura não corrigida. Como Smith diz, “os cibercriminosos estão colhendo os frutos de métodos de ataque experimentados e testados, então as organizações devem se concentrar na higiene cibernética básica”.
O estudo também explora as atividades e tendências de grupos de ameaças patrocinados pela China, Rússia, Irã e Coreia do Norte. A geopolítica continua sendo a principal motivação por trás das atividades de ameaça patrocinadas por Estados-nação. Os avanços tecnológicos fizeram com que os países diversificassem táticas, com a China se concentrando no Leste Europeu e o Irã usando personas falsas para ocultar a ação. Enquanto isso, grupos de ameaças norte-coreanos fraudaram US$ 2,3 bilhões em criptoativos entre maio de 2017 e maio deste ano.
O relatório Secureworks State of the Threat fornece uma análise aprofundada do cenário global de ameaças de segurança cibernética em evolução no último ano. Ele é baseado nas observações de incidentes reais da Unidade de Contra-Ameaças da empresa e oferece uma visão crítica sobre as ameaças observadas na linha de frente da segurança cibernética.