Você está visualizando atualmente Tendências recentes em violações e métodos de ataque oferecem um valioso mapa para profissionais de cibersegurança encarregados de detectar e prevenir o próximo grande acontecimento-

Tendências recentes em violações e métodos de ataque oferecem um valioso mapa para profissionais de cibersegurança encarregados de detectar e prevenir o próximo grande acontecimento-

A cibersegurança está em constante evolução e, como tal, requer vigilância regular. A Microsoft analisa mais de 78 trilhões de sinais de segurança todos os dias para compreender melhor os últimos vetores de ataque e técnicas. Desde o ano passado, observamos uma mudança na forma como os atores de ameaças estão escalando e aproveitando o suporte de estados-nação. Está claro que as organizações continuam a sofrer mais ataques do que nunca, e as cadeias de ataques estão se tornando mais complexas. Os tempos de permanência foram reduzidos e as táticas, técnicas e procedimentos (TTPs) evoluíram para se tornarem mais ágeis e evasivas na natureza.

Baseando-se nesses insights, aqui estão cinco tendências de ataque que as organizações de usuários finais devem monitorar regularmente.

Alcançando furtividade ao evitar ferramentas personalizadas e malware

Alguns grupos de atores de ameaças estão priorizando a furtividade, aproveitando ferramentas e processos que já existem nos dispositivos de suas vítimas. Isso permite que os adversários passem despercebidos e não sejam detectados, obscurecendo suas ações ao lado de outros atores de ameaças que estão usando métodos semelhantes para lançar ataques. Um exemplo dessa tendência pode ser visto com o Volt Typhoon, um ator patrocinado pelo estado chinês que foi destaque por visar infraestrutura crítica dos EUA com técnicas de “viver fora da terra”.

Combinando operações cibernéticas e de influência para um impacto maior

Os atores de estados-nação também criaram uma nova categoria de táticas que combina operações cibernéticas e métodos de operações de influência (IO). Conhecido como “operações de influência habilitadas por cyber”, este híbrido combina métodos cibernéticos – como roubo de dados, desfiguração, negação de serviço distribuído e ransomware – com métodos de influência – como vazamentos de dados, fantoches, personificação de vítimas, postagens enganosas em redes sociais e comunicações maliciosas por SMS/e-mail – para impulsionar, exagerar ou compensar deficiências no acesso à rede de adversários ou capacidades de ataque cibernético.

Criando redes covertas ao visar dispositivos de borda de rede SOHO

Particularmente relevante para os funcionários remotos ou distribuídos é o crescente abuso de dispositivos de borda de rede de escritório em casa/pequeno escritório (SOHO). Cada vez mais, vemos atores de ameaças usando dispositivos SOHO-alvo – como o roteador em uma cafeteria local – para montar redes secretas. Alguns adversários até mesmo usam programas para localizar endpoints vulneráveis ao redor do mundo e identificar pontos de partida para seu próximo ataque. Essa técnica complica a atribuição, fazendo com que os ataques pareçam vir de praticamente qualquer lugar.

Adotando rapidamente POCs publicamente divulgados para acesso inicial e persistência

A Microsoft observou cada vez mais certos subgrupos de estados-nação adotando código de prova de conceito (POC) publicamente divulgado logo após seu lançamento para explorar vulnerabilidades em aplicativos de internet. Essa tendência pode ser vista em grupos de ameaças como o Mint Sandstorm, um ator de estado-nação iraniano que rapidamente armou vulnerabilidades do dia-N em aplicativos empresariais comuns e conduziu campanhas altamente direcionadas de phishing para acessar rapidamente e com sucesso ambientes de interesse.

Priorizando a especialização dentro da economia de ransomware

Observamos um movimento contínuo em direção à especialização em ransomware. Em vez de realizar uma operação de ransomware de ponta a ponta, os atores de ameaças estão escolhendo se concentrar em uma pequena gama de capacidades e serviços. Essa especialização tem um efeito de fragmentação, espalhando os componentes de um ataque de ransomware por múltiplos provedores em uma complexa economia subterrânea. As empresas não podem mais considerar os ataques de ransomware como vindo de um único ator de ameaças ou grupo. Em vez disso, podem estar combatendo toda a economia de ransomware como serviço. Em resposta, a Microsoft Threat Intelligence agora rastreia provedores de ransomware individualmente, observando quais grupos negociam em acesso inicial e quais oferecem outros serviços.

À medida que os defensores cibernéticos procuram maneiras mais eficazes de fortalecer sua postura de segurança, é importante consultar e aprender com tendências significativas e violações no passado. Ao analisar esses incidentes e entender os motivos e TTPs de diferentes adversários, podemos prevenir melhor quebre similares no futuro.