A Trellix, empresa que resultou da fusão da McAfee e FireEye, divulgou hoje seu “Relatório de Pesquisa Avançada de Ameaças: janeiro de 2022”, contendo uma análise do comportamento e atividade dos criminosos cibernéticos e suas ameaças no terceiro trimestre de 2021. Entre suas descobertas, a pesquisa relata que apesar de uma comunidade considerar banir a atividade de ransomware de fóruns online, grupos de hackers usaram ‘personas’ alternativas para continuar a multiplicar o uso de ransomware em um espectro crescente de setores – atingindo principalmente finanças, concessionárias (utilities) e varejo, o que representa quase 60% das detecções de ransomware.
As principais conclusões para o terceiro trimestre de 2021 foram as seguintes:
- O setor financeiro foi o mais visado, com 22% das detecções de ransomware e 37% das detecções de APTs
- Os incidentes cibernéticos relatados publicamente no setor financeiro aumentaram 21% em comparação com o segundo trimestre de 2021
- Quase metade da atividade de APTs parece se originar de grupos apoiados por russos e chineses
- Mais de um terço das atividades de APTs usou o kit de ataques Cobalt Strike e acredita-se que sejam de estados-nação
- Os ataques Living off the Land (LotL) exploram o PowerShell e o Windows Command Shell (CMD) para acessar os sistemas das vítimas
- Formbook, Remcos RAT e LokiBot respondem por quase 80% das detecções de malware
Veja isso
Trellix substitui marcas FireEye e McAfee em XDR
FireEye e McAfee se fundem e criam empresa de US$ 2 bilhões
A Trellix também viu a seguinte atividade de APT:
- As atividades de ameaças que se acredita serem de grupos apoiados por estados-nação russos e chineses foram responsáveis por quase metade (46% combinados) de todas as atividades de ameaças APT observadas. Esta avaliação é baseada na análise dos indicadores técnicos disponíveis.
- O setor financeiro foi alvo de quase 40% da atividade de APT observada rastreada pela Trellix, seguido por serviços públicos, varejo e governo
Por meio da identificação de indicadores de comprometimento para revelar as ferramentas usadas para executar ataques, a Trellix observou o amadurecimento das técnicas que grupos adversários de APT altamente qualificados usam para contornar controles de segurança e realizar suas operações. No terceiro trimestre de 2021, ferramentas de operações de segurança, como o Cobalt Strike, foram abusadas por atores do estado-nação para obter acesso à rede de suas vítimas. Cobalt Strike é uma ferramenta de simulação de adversário que é comumente usada por hackers éticos para estudar métodos de ataque e melhorar a resposta a incidentes, e foi detectada em mais de um terço das campanhas de APT rastreadas. O Mimikatz, uma ferramenta de pós-exploração para obter mais acesso à rede da vítima ou elevar os direitos do usuário para executar tarefas assim que um ator tiver acesso ao dispositivo da vítima, também foi detectado em mais de um quarto das campanhas.
O relatório está em https://www.trellix.com/en-us/threat-center/threat-reports/jan-2022.html
Com informações da assessoria de imprensa