Você está visualizando atualmente Tendências Recentes em Violações e Métodos de Ataque Oferecem um Valioso Guia para Profissionais de Segurança Cibernética encarregados de Detectar e Prevenir a Próxima Grande Novidade

Tendências Recentes em Violações e Métodos de Ataque Oferecem um Valioso Guia para Profissionais de Segurança Cibernética encarregados de Detectar e Prevenir a Próxima Grande Novidade

A cibersegurança está em constante evolução e, como tal, requer vigilância regular.

A Microsoft analisa mais de 78 trilhões de sinais de segurança todos os dias para entender melhor os últimos vetores e técnicas de ataque. Desde o ano passado, notamos uma mudança na forma como os atores ameaçadores estão escalando e aproveitando o apoio dos estados-nação. Está claro que as organizações continuam a sofrer mais ataques do que nunca, e as cadeias de ataque estão se tornando mais complexas. Os tempos de permanência diminuíram e as táticas, técnicas e procedimentos (TTPs) evoluíram para se tornarem mais ágeis e evasivas por natureza.

Informados por esses insights, aqui estão cinco tendências de ataque que as organizações de usuários finais devem monitorar regularmente.

Alcançar a Furtividade Evitando Ferramentas Personalizadas e Malware

Alguns grupos de atores de ameaças estão priorizando a furtividade ao aproveitar ferramentas e processos que já existem nos dispositivos de suas vítimas. Isso permite que adversários passem despercebidos e não detectados, obscurecendo suas ações ao lado de outros atores de ameaças que estão usando métodos semelhantes para lançar ataques.

Um exemplo dessa tendência pode ser visto com o Volt Typhoon, um ator patrocinado pelo estado chinês que se destacou por visar infraestruturas críticas dos EUA com técnicas de operação off-the-land.

Combinar Operações Cibernéticas e de Influência para Maior Impacto

Os atores estatais também criaram uma nova categoria de táticas que combinam operações cibernéticas e métodos de operações de influência (IO). Conhecido como “operações de influência habilitadas por cibernética”, esse híbrido combina métodos cibernéticos — como roubo de dados, desfiguração, negação de serviço distribuída e ransomware — com métodos de influência — como vazamento de dados, bonecos, impersonação de vítimas, postagens enganosas em mídias sociais e comunicações de SMS/email maliciosas — para impulsionar, exagerar ou compensar deficiências no acesso à rede ou nas capacidades de ataque cibernético dos adversários.

Por exemplo, a Microsoft observou múltiplos atores iranianos tentando usar mensagens de SMS em massa para aumentar a amplificação e os efeitos psicológicos de suas operações de influência cibernética. Também estamos vendo mais operações de influência habilitadas por cibernética tentarem se passar por organizações vítimas pretendidas ou figuras proeminentes dessas organizações para adicionar credibilidade aos efeitos do ciberataque ou comprometimento.

Criar Redes Covertidas Ao Visar Dispositivos de Borda de Rede SOHO

Particularmente relevante para funcionários distribuídos ou remotos é o crescente abuso de dispositivos de borda de rede de pequenos escritórios/escritórios em casa (SOHO). Cada vez mais, vemos atores de ameaças usando dispositivos SOHO alvo — como o roteador em uma cafeteria local — para montar redes covertidas. Alguns adversários até mesmo usam programas para localizar endpoints vulneráveis ao redor do mundo e identificar pontos de partida para seu próximo ataque. Essa técnica complica a atribuição, fazendo com que os ataques pareçam vir de praticamente qualquer lugar.

Adotar Rapidamente POCs Publicamente Divulgados para Acesso Inicial e Persistência

A Microsoft observou cada vez mais certos subgrupos de estados-nação adotando rapidamente códigos de prova de conceito (POC) publicamente divulgados pouco depois de serem lançados para explorar vulnerabilidades em aplicativos voltados para a Internet.

Essa tendência pode ser vista em grupos de ameaças como Mint Sandstorm, um ator estatal iraniano que rapidamente armou vulnerabilidades N-day em aplicativos empresariais comuns e conduziu campanhas de phishing altamente direcionadas para acessar rapidamente e com sucesso ambientes de interesse.

Priorizar a Especialização Dentro da Economia de Ransomware

Observamos um movimento contínuo em direção à especialização em ransomware. Em vez de realizar uma operação de ransomware de ponta a ponta, os atores de ameaças estão escolhendo se concentrar em uma pequena gama de habilidades e serviços.

Essa especialização tem um efeito de fragmentação, espalhando componentes de um ataque de ransomware por vários provedores em uma complexa economia subterrânea. As empresas não podem mais pensar nos ataques de ransomware como vindo de um único ator de ameaça ou grupo. Em vez disso, podem estar combatendo toda a economia de ransomware como serviço. Em resposta, a Inteligência de Ameaças da Microsoft agora rastreia provedores de ransomware individualmente, observando quais grupos trafegam em acesso inicial e quais oferecem outros serviços.

À medida que os defensores cibernéticos procuram maneiras mais eficazes de fortalecer sua postura de segurança, é importante referenciar e aprender com tendências e violações significativas de anos anteriores. Ao analisar esses incidentes e entender os motivos e TTPs de diferentes adversários, podemos evitar melhor que violações semelhantes ocorram no futuro.