Você está visualizando atualmente Recent Trends In Breaches And Attack Methods Offer A Valuable Road Map To Cybersecurity Professionals Tasked With Detecting And Preventing The Next Big Thing

Recent Trends In Breaches And Attack Methods Offer A Valuable Road Map To Cybersecurity Professionals Tasked With Detecting And Preventing The Next Big Thing

A cibersegurança está constantemente evoluindo e, como tal, exige vigilância regular.

A Microsoft analisa mais de 78 trilhões de sinais de segurança todos os dias para entender melhor os últimos vetores de ataque e técnicas. Desde o ano passado, notamos uma mudança na forma como os atores de ameaças estão escalando e aproveitando o apoio de estados-nação. Fica claro que as organizações continuam a sofrer mais ataques do que nunca, e as cadeias de ataque estão se tornando mais complexas. O tempo de permanência diminuiu e táticas, técnicas e procedimentos (TTPs) evoluíram para se tornar mais ágeis e evasivas em sua natureza.

Informadas por essas percepções, aqui estão cinco tendências de ataque que as organizações de usuários finais devem monitorar regularmente.

Alcançando o sigilo evitando ferramentas personalizadas e malware

Alguns grupos de atores de ameaças estão priorizando o sigilo, aproveitando ferramentas e processos que já existem nos dispositivos de suas vítimas. Isso permite que os adversários passem despercebidos e não detectados, obscurecendo suas ações juntamente com outros atores de ameaça que estão usando métodos semelhantes para lançar ataques.

Um exemplo dessa tendência pode ser visto com o Volt Typhoon, um ator patrocinado pelo Estado chinês que ganhou destaque por atacar a infraestrutura crítica dos EUA com técnicas baseadas em living-off-the-land.

Unindo operações cibernéticas e de influência para maior impacto

Os atores de estados-nação também criaram uma nova categoria de táticas que combinam operações cibernéticas e métodos de operações de influência (IO). Conhecido como “operações de influência habilitadas por ciber”, esse híbrido combina métodos cibernéticos – como roubo de dados, desfiguração, negação de serviço distribuída e ransomware – com métodos de influência – como vazamentos de dados, fantoches, personificação de vítimas, postagens enganosas em mídias sociais e comunicações maliciosas por SMS/e-mail – para impulsionar, exagerar ou compensar deficiências no acesso à rede adversária ou capacidades de ciberataque.

Por exemplo, a Microsoft observou múltiplos atores iranianos tentando usar mensagens SMS em massa para ampliar os efeitos psicológicos de suas operações de influência cibernética. Também estamos vendo mais operações de influência habilitadas por ciber tentando se passar por organizações de vítimas supostas ou figuras proeminentes nessas organizações para adicionar credibilidade aos efeitos do ciberataque ou comprometimento.

Criando redes discretas ao mirar dispositivos de borda de rede SOHO

Particularmente relevante para funcionários distribuídos ou remotos é o crescente abuso de dispositivos de borda de rede de pequenos escritórios/escritórios domésticos (SOHO). Cada vez mais, estamos vendo atores de ameaças usar dispositivos SOHO como alvo – como o roteador em um café local – para montar redes discretas. Alguns adversários chegam a usar programas para localizar endpoints vulneráveis ao redor do mundo e identificar pontos de partida para seu próximo ataque. Essa técnica complica a atribuição, fazendo com que os ataques pareçam surgir de virtualmente qualquer lugar.

Adotando rapidamente POCs divulgados publicamente para acesso inicial e persistência

A Microsoft observou cada vez mais subgrupos de estados-nação adotando código de prova de conceito (POC) publicamente divulgado logo após seu lançamento para explorar vulnerabilidades em aplicativos voltados para a Internet.

Essa tendência pode ser observada em grupos de ameaças como Mint Sandstorm, um ator de estado-nação iraniano que rapidamente militarizou vulnerabilidades N-day em aplicativos empresariais comuns e realizou campanhas de phishing altamente direcionadas para acessar rapidamente e com sucesso ambientes de interesse.

Priorizando a especialização dentro da economia de ransomware

Temos observado um movimento contínuo em direção à especialização em ransomware. Em vez de realizar uma operação de ransomware de ponta a ponta, os atores de ameaças estão optando por se concentrar em uma pequena gama de capacidades e serviços.

Essa especialização tem um efeito de fragmentação, espalhando componentes de um ataque de ransomware por múltiplos fornecedores em uma complexa economia subterrânea. As empresas não podem mais pensar em ataques de ransomware como vindo de um único ator ou grupo de ameaças. Em vez disso, podem estar combatendo toda a economia de ransomware como serviço. Em resposta, a inteligência de ameaças da Microsoft agora rastreia os provedores de ransomware individualmente, observando quais grupos trafegam em acesso inicial e quais oferecem outros serviços.

À medida que os defensores cibernéticos buscam formas mais eficazes de fortalecer sua postura de segurança, é importante referenciar e aprender com tendências e violações significativas de anos anteriores. Ao analisar esses incidentes e entender os motivos e TTPs de diferentes adversários, podemos prevenir melhor a ocorrência de violações semelhantes no futuro.

– Leia mais Parcerias Perspectivas da Segurança da Microsoft.