Técnicas avançadas de ataques ganharam escala em 2022

Erivelto Tadeu
14/06/2023

À medida que os programas médicos e econômicos voltados ao enfrentamento da Covid-19 começaram a diminuir, os invasores tiveram que encontrar novas maneiras de ganhar dinheiro aprimorando suas habilidades de engenharia social, comoditizando técnicas de ataque sofisticadas e usando da criatividade para buscar novas oportunidades em lugares inesperados. Relatório anual da Proofpoint revela que, após dois anos de pausa por conta da pandemia, 2022 foi marcado pelo retorno aos “negócios” dos criminosos cibernéticos do mundo inteiro. 

Desde o dimensionamento de força bruta (tentativas de violar uma senha ou um nome de usuário ou descobrir uma chave, usando uma abordagem de tentativa e erro) e ataques direcionados a empresas que usam computação na nuvem, até o aumento de ataques de smishing, phishing por SMS e proliferação da quebra daautenticação multifator (MFA), o cenário de ataques cibernéticos testemunhou desenvolvimentos significativos em várias frentes no ano passado.

“Com o Microsoft 365 representando uma grande porcentagem da superfície de ataques típicos de uma organização, o amplo uso dessa plataforma, de macros do Office a documentos do OneNote, continua a moldar as linhas gerais do cenário de ameaças”, explica Marcelo Bezerra, gerente de engenharia da Proofpoint. “À medida que os controles de segurança melhoraram lentamente, os atores das ameaças inovaram e escalaram seus desvios. Técnicas que antigamente eram restritas a hackers experientes, agora são utilizadas em escala – como por exemplo, o uso de MFA e a entrega de ataque por telefone. Embora muitos atores de ataques ainda estejam realizados novos experimentos, o que permanece igual é que, invariavelmente, os invasores exploram as pessoas, que são a variável mais crítica hoje em dia na cadeia de ataques.”

O relatório investiga os novos desenvolvimentos em todo o cenário de ameaças, com foco na combinação de tecnologia e psicologia que torna os ataques cibernéticos modernos tão perigosos entre as três principais facetas do risco do usuário — vulnerabilidade, ataques e privilégios. Ele se baseia em um dos maiores e mais diversos conjuntos globais de dados de cibersegurança do setor em e-mail, nuvem e computação móvel provenientes de mais de 2,6 bilhões de mensagens de e-mail, 49 bilhões de URLs, 1,9 bilhão de anexos, 28 milhões de contas na nuvem, 1,7 bilhão de SMS suspeitos e muito mais.

De técnicas complexas, como contornar o MFA, a entrega de ataques orientados por telefone e ameaças de conversação que dependem apenas da engenharia do invasor, 2022 foi um ano de criatividade sem precedentes entre os agentes de ameaças, pois eles variaram as cadeias de ataque, fizeram testes e descartaram rapidamente os mecanismos de entrega.

As principais descobertas destacadas no relatório incluem:

  • O uso do serviço macros do Office entrou em colapso depois que a Microsoft lançou controles para bloqueá-los: depois de quase três décadas sendo utilizado como um método popular de distribuição de malware, o uso de macros do Office, comandos e instruções agrupados como um único comando para realizar uma tarefa automaticamente, finalmente começou a diminuir depois que a Microsoft atualizou como seu software lida com arquivos baixados da internet. As mudanças desencadearam uma onda contínua de experimentação de hackers para buscar técnicas alternativas para comprometer os alvos.
  • Os cibercriminosos começaram a combinar sua habilidade com precisão e paciência recém-descobertas: as ameaças de smishing conversacional e pia butchering — que começam com invasores enviando mensagens aparentemente inofensivas — aumentaram no ano passado. No espaço virtual, foi a ameaça de crescimento mais rápido no ano, experimentando um aumento de 12 vezes em termos de volume. Os ataques orientados por telefone (TOAD) atingiu o pico de 13 milhões de mensagens por mês. Vários operadores de APT patrocinados por Estados-nação investiram um tempo significativo trocando mensagens benignas com seus alvos para construir um relacionamento ao longo de semanas e meses.
  • Os phishings de desvio de MFA disponíveis no mercado tornaram-se onipresentes, permitindo que até mesmo criminosos não técnicos criassem uma campanha de phishing: estruturas de desvio de MFA como EvilProxy, Evilginx2 e NakedPages foram responsáveis por mais de 1 milhãode mensagens de phishing por mês.
  • A infraestrutura desempenhou um papel fundamental na entrega de muitos ataques baseados em nuvem e mostrou as limitações das proteções baseadas em regras: a maioria das organizações enfrentou ameaças originárias dos gigantes da nuvem Microsoft e Amazon, cuja infraestrutura hospeda inúmeros serviços legítimos dos quais as organizações dependem.
  • Novos métodos de distribuição colocaram o SocGholish entre os cinco principais malwares por volume de mensagens: com um novo método de distribuição envolvendo downloads drive-by e falsas atualizações de navegador, o agente da ameaça por trás do SocGholish (TA569)  tem sido cada vez mais capaz de infectar sites para entregar malware exclusivamente por drive-by downloads, induzindo as vítimas a baixá-lo por meio de atualizações falsas do navegador. Muitos sites que hospedam o malware SocGholish não sabem que o estão hospedando, proliferando ainda mais sua distribuição.
  • As ameaças à nuvem se tornaram onipresentes: 94% daqueles que pagam por servidores em cloud são alvos todos os meses de um ataque de precisão ou de força bruta na nuvem, indicando uma frequência equivalente aos vetores de e-mail e dispositivos móveis. O número de ataques de força bruta — principalmente a pulverização de senhas — aumentou de uma média mensal de 40 milhões em 2022 para quase 200 milhões no início de 2023.

    Veja isso
    Ataques avançados de phishing aumentaram 356% em um ano
    RAT avançado AgentTesla foi o mais difundido em outubro
  • Abusar da familiaridade e da confiança nas grandes marcas é uma das formas mais simples de engenharia social: os produtos e serviços da Microsoft ocuparam quatro das cinco primeiras posições das marcas utilizadas, sendo a Amazon a número um.
  • Um acesso inicial bem-sucedido pode levar rapidamente a ataques em toda a rede, como infecção por ransomware ou roubo de dados: até 40% das identidades de administrador “sombra”, que possuem permissões específicas para escalar informações na nuvem, quando mal configuradas podem ser exploradas em uma única etapa, como redefinir uma senha de domínio para aumentar privilégios. Foi descoberto que 13% dos administradores sombra já possuem privilégios de administrador de domínio, permitindo que invasores coletem credenciais e acessem sistemas corporativos. Cerca de 10% dos endpoints têm uma senha de conta privilegiada desprotegida, com 26% dessas contas expostas sendo administradores de domínio.
  • O Emotet voltou a ser o fator de ameaças mais proeminente do mundo, um ano depois que a aplicação da lei colocou a botnet offline em janeiro de 2021: No entanto, apesar de enviar mais de 25 milhões de mensagens em 2022 – mais do que o dobro do volume do segundo fator de ameaças mais proeminente – a presença do Emotet tem sido intermitente, com o grupo também mostrando sinais de letargia na adaptação ao cenário de ameaças pós-macro.
  • Enquanto o crime motivado financeiramente domina amplamente o cenário de ameaças, um único ataque atípico por um agente de Ameaça Persistente Avançada (APT) pode ter um impacto enorme: uma grande campanha do TA471, um grupo APT alinhado à Rússia que se envolve em espionagem corporativa e governamental, impulsionou esse fator para o topo dos gráficos de volume de mensagens APT. TA416, um agente da APT alinhado com o estado chinês, foi um dos mais ativos. Em particular, novas campanhas significativas do TA416 coincidiram com o início da guerra Rússia-Ucrânia, visando entidades diplomáticas europeias envolvidas em serviços de refugiados e migrantes.

Compartilhar: