Sophos aponta principais tendências que devem moldar a segurança de TI em 2021

A Sophos, empresa global em cibersegurança de próxima geração, publicou ontem, 18, o Relatório de Ameaças Sophos 2021, que mostra como o ransomware e outros comportamentos de invasores, do nível avançado ao básico, moldarão o cenário de ameaças e a segurança de TI em 2021. Escrito por pesquisadores de segurança da SophosLabs, profissionais de ameaças da Sophos, equipes de resposta rápida e especialistas em segurança em Nuvem e IA, o material traz uma perspectiva tridimensional sobre as ameaças e tendências de segurança, de seu início até o impacto no mundo real.

Entre as tendências analisadas o estudo aponta que a distância entre os operadores de ransomware com diferentes habilidades e recursos aumentará. No final das contas, as famílias de ransomware de grande porte continuarão a refinar e mudar suas táticas, técnicas e procedimentos (TTPs) para se tornarem mais evasivas e semelhantes a um estado-nação em sofisticação, visando organizações maiores com demandas multimilionárias de resgate. Em 2020, essas famílias incluíam Ryuk e RagnarLocker. Na outra extremidade do espectro, a Sophos antecipa um aumento no número de invasores de nível de entrada, do tipo aprendiz, que procuram ransomware de aluguel por meio de menus, como o Dharma, que lhes permite atingir grandes volumes de vítimas menores.

Outra tendência do ransomware é a “extorsão secundária”. Nela, junto com a criptografia de dados, os invasores roubam e ameaçam publicar informações sigilosas ou confidenciais, caso suas exigências não sejam atendidas. Em 2020, a Sophos relatou sobre Maze, RagnarLocker, Netwalker, REvil e outros que usavam essa abordagem.

“O modelo de negócios do ransomware é dinâmico e complexo. Durante 2020, vimos uma tendência clara para que os invasores  se diferenciassem em termos de competências e alvos. No entanto, também vimos famílias de ransomware compartilhando as melhores ferramentas da categoria e formando ‘cartéis’ colaborativos com estilo próprio”, comenta Chester Wisniewski, principal cientista de pesquisa da Sophos.

Ameaças cotidianas, como o malware de commodities, incluindo carregadores e botnets ou Initial Access Brokers operados por humanos, exigirão máxima atenção de segurança

As ameaças cotidianas podem parecer menos agressivas, mas são projetadas para garantir uma posição segura em um alvo, reunir dados essenciais e compartilhá-los com uma rede de comando e controle que fornecerá outras instruções. Se os operadores humanos estiverem por trás desses tipos de ameaças, eles revisarão cada máquina comprometida para sua localização e outros sinais de alto valor e, em seguida, venderão o acesso aos alvos mais lucrativos para quem der o lance mais alto, como uma grande operação de ransomware. Por exemplo, em 2020, Ryuk usou o Buer Loader para entregar seu ransomware.

“O malware de commodities pode ter um ruído baixo, obstruindo o sistema de alerta de segurança. Pelo que analisamos, é claro que os defensores precisam levar esses ataques a sério, por conta do que eles podem causar posteriormente. Qualquer infecção pode acabar comprometendo tudo. Muitas equipes de segurança podem não perceber que o ataque foi, provavelmente, contra mais de uma máquina e que o malware, aparentemente comum, como Emotet e Buer Loader pode levar ao Ryuk, Netwalker e outros ataques avançados. Subestimar infecções ‘menores’ pode sair muito caro”, completa Wisniewski.

Os invasores abusarão cada vez mais de ferramentas legítimas, utilitários bem conhecidos e destinos de rede comuns para escapar das medidas de detecção e segurança e impedir a análise e atribuição

O abuso de ferramentas legítimas permite que os cibercriminosos fiquem sob o radar enquanto se movem pela rede até que estejam prontos para lançar a parte principal do ataque, como o ransomware. Para invasores patrocinados por estados-nação, há o benefício adicional de que o uso de ferramentas comuns torna a atribuição mais difícil. Em 2020, a Sophos relatou sobre a ampla gama de ferramentas de ataque padrão usadas por invasores.

“Essa técnica foi destaque em análise da Sophos e desafia as abordagens de segurança tradicionais porque o aparecimento de ferramentas conhecidas não dispara um alerta vermelho automaticamente. É aqui que a busca às ameaças lideradas por humanos e a resposta gerenciada realmente se destacam”, diz Wisniewski. “Os especialistas humanos conhecem as anomalias e traços sutis que devem ser procurados, como uma ferramenta legítima sendo usada na hora ou no lugar errado. Para especialistas s de ameaças treinados ou gerentes de TI usando recursos de detecção e resposta de endpoint (EDR), esses sinais são valiosos cabos de proteção que podem alertar as equipes de segurança sobre um possível intruso e um ataque em andamento”.

Entre outras tendências analisadas no Relatório de Ameaças Sophos 2021 estão ataques a servidores — os invasores têm como alvo os servidores que executam tanto Windows quanto  Linux e alavancam essas plataformas para atacar organizações internamente; o impacto da pandemia da Covid-19 na segurança de TI, como por exemplo os desafios de trabalhar em casa usando redes pessoais protegidas por níveis amplamente variados de segurança e a computação em Nuvem suportou com sucesso o peso de muitas das necessidades corporativas de ambientes seguros, mas enfrenta desafios diferentes daqueles de uma rede corporativa tradicional.

Além destas, o relatório destaca, ainda, serviços comuns como redes privadas virtuais (VPN) e também os servidores de acesso remoto ao computador (RDP), continuam a ser o foco de ataques. Os invasores também usam RDP para se mover dentro de redes violadas e aplicativos de software tradicionalmente sinalizados como “potencialmente indesejados” porque entregavam uma infinidade de anúncios, mas engajados em táticas que são cada vez mais indistinguíveis de malware. E, também, o surpreendente reaparecimento de um bug antigo, o VelvetSweatshop,que é um recurso de senha padrão para versões anteriores do Microsoft Excel – usado para ocultar macros ou outro conteúdo malicioso em documentos e evitar a detecção avançada de ameaças, e a necessidade de aplicar abordagens da epidemiologia para quantificar ameaças cibernéticas invisíveis, não detectadas e desconhecidas, a fim de melhor preencher as lacunas na detecção, avaliar riscos e definir prioridades.

Serviço
www.sophos.com

ameaças e a segurança de TI em 2021especialistas em segurança em Nuvem e IAMazeNetWalkerRagnarLockerRelatório de Ameaças Sophos 2021REvil Ryuk e RagnarLockerSophos