Tendências Recentes em Violações e Métodos de Ataque Oferecem um Valioso Mapa para Profissionais de Cibersegurança responsáveis por Detectar e Prevenir a Próxima Grande Ameaça – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

A cibersegurança está em constante evolução e, como tal, requer vigilância regular.
A Microsoft analisa mais de 78 trilhões de sinais de segurança todos os dias para entender melhor os últimos vetores de ataque e técnicas. Desde o último ano, percebemos uma mudança na forma como os atores ameaçadores estão ampliando e aproveitando o apoio dos estados-nação. Está claro que as organizações continuam a enfrentar mais ataques do que nunca, e as cadeias de ataques estão se tornando mais complexas. O tempo de permanência foi reduzido e as táticas, técnicas e procedimentos (TTPs) evoluíram para se tornar mais ágeis e evasivas por natureza.
Informadas por essas percepções, aqui estão cinco tendências de ataques que as organizações de usuários finais devem monitorar regularmente.

Alcançando o Sigilo Evitando Ferramentas Personalizadas e Malwares
Alguns grupos de atores ameaçadores estão priorizando o sigilo, aproveitando ferramentas e processos que já existem nos dispositivos de suas vítimas. Isso permite que os adversários passem despercebidos e não sejam detectados, ocultando suas ações ao lado de outros atores ameaçadores que estão usando métodos similares para lançar ataques.
Um exemplo dessa tendência pode ser visto com o Volt Typhoon, um ator patrocinado pelo estado chinês que ganhou manchetes por mirar na infraestrutura crítica dos EUA com técnicas de “living-off-the-land”.

Combinando Operações Cibernéticas e de Influência para Maior Impacto
Os atores dos estados-nação também criaram uma nova categoria de táticas que combinam operações cibernéticas e métodos de operações de influência (IO). Conhecido como “operações de influência habilitadas por cyber”, esse híbrido combina métodos cibernéticos – como roubo de dados, desfiguração, negação de serviço distribuído e ransomware – com métodos de influência – como vazamentos de dados, testas de ferro, falsa representação de vítimas, postagens enganosas nas mídias sociais e comunicações maliciosas por SMS/e-mail – para aumentar, exagerar ou compensar deficiências no acesso à rede ou capacidades de ataque cibernético de adversários.
Por exemplo, a Microsoft observou vários atores iranianos tentando usar mensagens SMS em massa para aprimorar a amplificação e os efeitos psicológicos de suas operações de influência cibernética. Também estamos vendo mais operações de influência habilitadas por cyber tentando se passar por organizações de vítimas pretendidas ou figuras proeminentes dessas organizações para adicionar credibilidade aos efeitos do ataque cibernético ou comprometimento.

Criando Redes Clandestinas Alvejando Dispositivos de Borda da Rede SOHO
Particularmente relevante para funcionários distribuídos ou remotos é o crescente abuso de dispositivos de borda de rede de escritório doméstico/pequeno escritório (SOHO). Cada vez mais, estamos vendo atores ameaçadores usando dispositivos SOHO alvejados – como o roteador em uma cafeteria local – para montar redes clandestinas. Alguns adversários até usam programas para localizar extremidades vulneráveis ao redor do mundo e identificar pontos de partida para seu próximo ataque. Essa técnica complica a atribuição, fazendo com que os ataques pareçam originários de praticamente qualquer lugar.

Adoção Rápida de POCs Divulgados Publicamente para Acesso Inicial e Persistência
A Microsoft observou cada vez mais certos subgrupos de estados-nação adotando códigos de prova de conceito (POC) divulgados publicamente pouco depois de serem lançados para explorar vulnerabilidades em aplicativos expostos à Internet.
Essa tendência pode ser vista em grupos como o Mint Sandstorm, um ator estatal iraniano que rapidamente armou vulnerabilidades N-day em aplicativos empresariais comuns e conduziu campanhas de phishing altamente direcionadas para acessar rapidamente e com sucesso ambientes de interesse.

Priorizando a Especialização Dentro da Economia de Ransomware
Observamos um movimento contínuo em direção à especialização em ransomware. Em vez de realizar uma operação de ransomware de ponta a ponta, os atores ameaçadores estão optando por se concentrar em um pequeno conjunto de capacidades e serviços.
Essa especialização tem um efeito de fragmentação, espalhando componentes de um ataque de ransomware por vários provedores em uma economia subterrânea complexa. As empresas não podem mais pensar em ataques de ransomware como provenientes apenas de um único ator ou grupo. Em vez disso, podem estar combatendo toda a economia de ransomware como serviço. Em resposta, a Microsoft Threat Intelligence agora rastreia os fornecedores de ransomware individualmente, observando quais grupos traffican em acesso inicial e quais oferecem outros serviços.
À medida que os defensores cibernéticos buscam maneiras mais eficazes de fortalecer sua postura de segurança, é importante referenciar e aprender com tendências e brechas significativas em anos passados. Ao analisar esses incidentes e entender os motivos e TTPs de diferentes adversários, podemos prevenir melhor quebre-se similares no futuro.

Você também pode gostar

Fin7 Grupo de Hackers Utiliza Anúncios Maliciosos do Google para Distribuir o RAT NetSupport

Ruas da Cidade “desobedecem” após Ataque de Ransomware

Crypto Golpe App Disfarçado como WalletConnect Rouba $70K em Campanha de Cinco Meses