Você está visualizando atualmente Tendências Recentes em Ataques e Métodos de Brecha Oferecem um Valioso Mapa para Profissionais de Segurança Cibernética.

Tendências Recentes em Ataques e Métodos de Brecha Oferecem um Valioso Mapa para Profissionais de Segurança Cibernética.

Cibersegurança está em constante evolução e, como tal, requer vigilância regular.

A Microsoft analisa mais de 78 trilhões de sinais de segurança todos os dias para entender melhor os últimos vetores e técnicas de ataque. Desde o último ano, notamos uma mudança na forma como atores de ameaças estão escalonando e aproveitando o suporte estatal. Está claro que as organizações continuam a sofrer mais ataques do que nunca, e as cadeias de ataque estão se tornando mais complexas. Os tempos de permanência diminuíram e as táticas, técnicas e procedimentos (TTPs) evoluíram para se tornarem mais ágeis e evasivos por natureza. Com base nesses insights, aqui estão cinco tendências de ataque que as organizações de usuários finais devem monitorar regularmente.

Alcançar o sigilo evitando ferramentas personalizadas e malware

Alguns grupos de atores de ameaças estão priorizando o sigilo aproveitando ferramentas e processos que já existem nos dispositivos de suas vítimas. Isso permite que os adversários passem despercebidos e não sejam detectados, obscurecendo suas ações ao lado de outros atores de ameaças que estão usando métodos semelhantes para lançar ataques. Um exemplo dessa tendência pode ser visto com o Volt Typhoon, um ator patrocinado pelo estado chinês que ganhou destaque por visar a infraestrutura crítica dos EUA com técnicas de vida útil na terra.

Combinando operações cibernéticas e de influência para maior impacto

Atores estatais também criaram uma nova categoria de táticas que combina operações cibernéticas e métodos de operações de influência (OI). Conhecida como “operações de influência habilitadas por cibercibernética”, essa combinação híbrida combina métodos cibernéticos – como roubo de dados, desfiguração, negação de serviço distribuído e ransomware – com métodos de influência – como vazamentos de dados, sockpuppets, impersonação de vítimas, postagens enganosas em redes sociais e comunicação maliciosa por SMS/email – para impulsionar, exagerar ou compensar falhas no acesso à rede ou capacidades de ciberataque dos adversários.

Criando redes secretas visando dispositivos de borda de rede SOHO

Particularmente relevante para funcionários distribuídos ou remotos é o crescente abuso de dispositivos de borda de rede de pequenos escritórios/escritórios domésticos (SOHO). Cada vez mais, estamos vendo atores de ameaças usando dispositivos SOHO como o roteador em uma cafeteria local para montar redes secretas. Alguns adversários até usam programas para localizar endpoints vulneráveis em todo o mundo e identificar pontos de partida para seu próximo ataque. Essa técnica complica a atribuição, fazendo com que os ataques pareçam vir de praticamente qualquer lugar.

Adotando rapidamente POCs publicamente divulgados para acesso inicial e persistência

A Microsoft observou cada vez mais certos subgrupos estatais adotando código de prova de conceito (POC) divulgado publicamente logo após seu lançamento para explorar vulnerabilidades em aplicativos voltados para a Internet. Essa tendência pode ser vista em grupos de ameaças como Mint Sandstorm, um ator estatal iraniano que rapidamente armou vulnerabilidades do dia N em aplicativos corporativos comuns e conduziu campanhas altamente direcionadas de phishing para acessar rapidamente e com sucesso os ambientes de interesse.

Priorizando a especialização dentro da economia do ransomware

Estamos observando uma contínua mudança em direção à especialização do ransomware. Em vez de realizar uma operação de ransomware de ponta a ponta, os atores de ameaças estão optando por se concentrar em uma pequena gama de capacidades e serviços. Essa especialização tem um efeito de fragmentação, espalhando os componentes de um ataque de ransomware por vários provedores em uma economia subterrânea complexa. Não mais as empresas podem pensar em ataques de ransomware como provenientes de um único ator ou grupo de ameaças. Em vez disso, eles podem estar combatendo toda a economia de ransomware como serviço. Em resposta, a Inteligência de Ameaças da Microsoft agora rastreia provedores de ransomware individualmente, observando quais grupos lidam com acesso inicial e quais oferecem outros serviços.

À medida que os defensores cibernéticos buscam maneiras mais eficazes de fortalecer sua postura de segurança, é importante fazer referência e aprender com tendências significativas e violações em anos anteriores. Ao analisar esses incidentes e entender os motivos e TTPs de diferentes adversários, podemos prevenir melhor que violações semelhantes ocorram no futuro.