Tendências Recentes em Violações e Métodos de Ataque Oferecem um Mapa Valioso para Profissionais de Segurança CibernéticaEncarregados de Detectar e Prevenir a Próxima Grande Novidade – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

A cibersegurança está constantemente evoluindo e, como tal, requer vigilância regular. A Microsoft analisa mais de 78 trilhões de sinais de segurança todos os dias para entender melhor os últimos vetores e técnicas de ataque. Desde o ano passado, foi notada uma mudança na forma como os atores de ameaças estão escalando e utilizando o apoio dos estados-nação. Está claro que as organizações continuam a sofrer mais ataques do que nunca, e as cadeias de ataque estão se tornando mais complexas. Os tempos de residência foram encurtados e as táticas, técnicas e procedimentos (TTPs) evoluíram para se tornarem mais ágeis e evasivas. Com base nessas informações, aqui estão cinco tendências de ataque que as organizações de usuários finais devem monitorar regularmente.

Priorizando a furtividade ao evitar ferramentas personalizadas e malware

Alguns grupos de atores de ameaça estão priorizando a furtividade, aproveitando ferramentas e processos que já existem nos dispositivos de suas vítimas. Isso permite que os adversários passem despercebidos e não sejam detectados, obscurecendo suas ações ao lado de outros atores de ameaças que estão usando métodos semelhantes para lançar ataques. Um exemplo dessa tendência pode ser visto com o Volt Typhoon, um ator patrocinado pelo estado chinês que chamou a atenção por visar infraestruturas críticas dos EUA com técnicas “living-off-the-land”.

Combinando operações cibernéticas e de influência para maior impacto

Os atores estatais também criaram uma nova categoria de táticas que combina operações cibernéticas e métodos de operações de influência (IO). Conhecido como “operações de influência habilitadas por cibernética”, esse híbrido combina métodos cibernéticos – como roubo de dados, desfiguração, negação distribuída de serviço e ransomware – com métodos de influência – como vazamentos de dados, perfis falsos, imitação de vítimas, postagens enganosas nas redes sociais e comunicação maliciosa por SMS/e-mail – para impulsionar, exagerar ou compensar as deficiências no acesso à rede dos adversários ou capacidades de ataque cibernético.

Criando redes ocultas ao segmentar dispositivos de borda de rede SOHO

Particularmente relevante para funcionários distribuídos ou remotos é o aumento do abuso de dispositivos de borda de rede pequeno escritório/escritório doméstico (SOHO). Cada vez mais, estamos vendo atores de ameaças usando dispositivos SOHO de destino – como o roteador em uma cafeteria local – para montar redes ocultas. Alguns adversários até usam programas para localizar endpoints vulneráveis ao redor do mundo e identificar pontos de partida para seu próximo ataque. Essa técnica complica a atribuição, tornando os ataques parecerem originados de praticamente qualquer lugar.

Adotando rapidamente POCs publicamente divulgados para acesso inicial e persistência

A Microsoft observou cada vez mais certos subgrupos estatais-nação adotando rapidamente códigos de prova de conceito (POC) divulgados publicamente logo após seu lançamento para explorar vulnerabilidades em aplicativos de internet. Esse padrão pode ser visto em grupos de ameaças como Mint Sandstorm, um ator estatal iraniano que rapidamente armou vulnerabilidades N-day em aplicativos corporativos comuns e conduziu campanhas de phishing altamente direcionadas para acessar rapidamente ambientes de interesse de forma bem-sucedida.

Priorizando a especialização dentro da economia de ransomware

Observamos um movimento contínuo em direção à especialização em ransomware. Em vez de realizar uma operação completa de ransomware, os atores de ameaça estão optando por se concentrar em uma pequena gama de capacidades e serviços. Essa especialização tem um efeito de fragmentação, espalhando componentes de um ataque de ransomware entre vários provedores em uma economia subterrânea complexa. As empresas não podem mais pensar nos ataques de ransomware como provenientes de um único ator de ameaça ou grupo. Em vez disso, podem estar combatendo toda a economia de ransomware como serviço. Em resposta, a inteligência de ameaças da Microsoft agora rastreia provedores de ransomware individualmente, observando quais grupos trafegam em acesso inicial e quais oferecem outros serviços.

À medida que os defensores cibernéticos procuram maneiras mais eficazes de fortalecer sua postura de segurança, é importante referenciar e aprender com tendências e violações significativas em anos passados. Analisando esses incidentes e entendendo os motivos e TTPs favoritos de diferentes adversários, podemos melhorar a prevenção de violações semelhantes no futuro.

Você também pode gostar

Malware BLOODALCHEMY Furtivo Ataca Redes Governamentais da ASEAN

CUIDADO: Estes Sites Falsos de Antivírus Espalhando Malware para Android e Windows

Pesquisadores Alertam Sobre Hackers Alinhados com a China Atacando Países do Mar do Sul da China