A cibersegurança está constantemente evoluindo e, como tal, requer vigilância regular. A Microsoft analisa mais de 78 trilhões de sinais de segurança todos os dias para entender melhor os últimos vetores e técnicas de ataque. Desde o ano passado, notamos uma mudança na forma como os atores de ameaças estão escalando e aproveitando o apoio dos governos. Está claro que as organizações continuam a sofrer mais ataques do que nunca, e as cadeias de ataques estão se tornando mais complexas. Os tempos de permanência diminuíram e as táticas, técnicas e procedimentos (TTPs) evoluíram para se tornarem mais ágeis e evasivas por natureza.

Informadas por essas percepções, aqui estão cinco tendências de ataques que as organizações de usuários finais devem monitorar regularmente.

Alcançar o sigilo evitando ferramentas personalizadas e malware
Alguns grupos de atores de ameaças estão priorizando o sigilo, aproveitando ferramentas e processos que já existem nos dispositivos de suas vítimas. Isso permite que adversários passem despercebidos e não sejam detectados ao obscurecer suas ações junto com outros atores que estão usando métodos semelhantes para lançar ataques.

Combinar operações cibernéticas e de influência para maior impacto
Os atores dos estados-nação também criaram uma nova categoria de táticas que combina operações cibernéticas e métodos de operações de influência (IO). Conhecido como “operações de influência habilitadas por ciber,” esse híbrido combina métodos cibernéticos — como roubo de dados, desfiguração, negação de serviço distribuída e ransomware — com métodos de influência — como vazamento de dados, bonecos, personificação da vítima, postagens enganosas em mídias sociais e comunicação maliciosa por SMS/e-mail — para impulsionar, exagerar ou compensar deficiências no acesso à rede ou capacidades de ataque cibernético dos adversários.

Criar redes dissimuladas ao visar dispositivos de borda de rede SOHO
Particularmente relevante para funcionários distribuídos ou remotos é o aumento do abuso de dispositivos de borda de rede de pequenos escritórios/escritórios em casa (SOHO). Cada vez mais, estamos vendo atores de ameaças usar dispositivos SOHO como o roteador em uma cafeteria local para montar redes dissimuladas. Alguns adversários até mesmo usam programas para localizar pontos finais vulneráveis ao redor do mundo e identificar pontos de partida para seu próximo ataque. Essa técnica complica a atribuição, fazendo com que os ataques pareçam vir de virtualmente qualquer lugar.

Adoção rápida de POCs divulgados publicamente para acesso inicial e persistência
A Microsoft observou cada vez mais certos subgrupos de estados-nação adotando rapidamente código de conceito (POC) divulgado publicamente logo após seu lançamento para explorar vulnerabilidades em aplicativos de Internet. Essa tendência pode ser vista em grupos de ameaças como Mint Sandstorm, um ator estatal iraniano que rapidamente armou vulnerabilidades do dia zero em aplicativos empresariais comuns e conduziu campanhas altamente direcionadas de phishing para acessar rapidamente e com êxito ambientes de interesse.

Priorizar a especialização dentro da economia de ransomware
Temos observado uma mudança contínua em direção à especialização em ransomware. Em vez de realizar uma operação de ransomware de ponta a ponta, os atores de ameaças estão optando por se concentrar em uma pequena gama de capacidades e serviços. Essa especialização tem um efeito de fragmentação, espalhando componentes de um ataque de ransomware por vários provedores em uma economia subterrânea complexa. As empresas não podem mais pensar nos ataques de ransomware como vindo de um único ator ou grupo. Em vez disso, podem estar combatendo toda a economia de ransomware como serviço. Em resposta, a Microsoft Threat Intelligence agora rastreia provedores de ransomware individualmente, observando quais grupos lidam com o acesso inicial e quais oferecem outros serviços.

À medida que os defensores cibernéticos procuram maneiras mais eficazes de fortalecer sua postura de segurança, é importante referenciar e aprender com tendências e violações significativas dos anos anteriores. Ao analisar esses incidentes e entender os motivos e TTPs favoritos de diferentes adversários, podemos prevenir melhor que violações semelhantes aconteçam no futuro.