Os operadores de ameaças aceleraram significativamente a implantação de ransomware nos últimos anos, reduzindo o tempo gasto em um ataque de mais de 60 dias, em média, em 2019, para menos de quatro dias em 2021, de acordo com um relatório da IBM.
O índice anual X-Force Threat Intelligence da empresa foi compilado a partir de bilhões de pontos de coleta de dados em 2022, constituídos por dispositivos de rede e endpoints, engajamentos de resposta a incidentes, bancos de dados de vulnerabilidades e exploração, entre outras fontes.
O levantamento revela que, embora os incidentes causados por ransomware tenham caído de 21% em 2021 para 17% no ano passado, os invasores estão conduzindo seus ataques de forma mais rápida, com uma redução de 94% no tempo médio necessário para implantar um ransomware entre 2019 e 2021.
“Uma maneira particularmente prejudicial pela qual os operadores de ransomware distribuem sua carga útil em uma rede é comprometendo os controladores de domínio. Uma pequena porcentagem, aproximadamente 4%, das descobertas no teste de penetração de rede do X-Force Red revelou entidades que tinham configurações incorretas no Active Directory e poderiam deixá-las abertas para escalonamento de privilégios ou controle total do domínio”, explica o relatório.
No ano passado, a X-Force também observou ataques de ransomware mais agressivos na infraestrutura que está por baixo do sistema, como os hipervisores ESXi e Hyper-V. “O impacto potencialmente alto desses métodos de ataque ressalta a importância de proteger os controladores de domínio e hipervisores adequadamente”, diz o documento.
A predominância de ransomware ajudou a tornar a extorsão o objetivo número um dos operadores de ameaças no ano passado. Esteve presente em um quinto (21%) dos ataques, mais do que roubo de dados (19%) e coleta de credenciais (11%), respectivamente.
A IBM disse que o comprometimento de e-mail comercial (BEC) foi outra grande modalidade de ataques, baseada em extorsão, e que frequentemente apresentava o uso de ferramentas de acesso remoto, criptomineradores, backdoors, downloaders e web shells.
Veja isso
Ransomware ESXiArgs visa servidor VMware ESXi sem patch
Versão Linux do ransomware Royal mira servidor VMware ESXi
As empresas do setor de manufatura representaram o maior grupo de vítimas (30%) em ataques de extorsão. O phishing continuou sendo o principal vetor de acesso inicial no ano passado, identificado em dois quintos (41%) dos incidentes, seguido pela exploração de aplicativos voltados para o público (26%).
Depois que as caixas de entrada são comprometidas, os operadores de ameaças estão cada vez mais recorrendo a técnicas de sequestro de threads para dar o ar de legitimidade aos e-mails de spam e melhorar as chances de envolvimento da vítima. A IBM registrou um aumento de 100% nas tentativas de sequestro de thread por mês em 2022 em relação ao ano anterior, com as campanhas Emotet, Qakbot e IcedID em particular fazendo uso pesado da tática.