Sophos: buraco negro de ransomware cria um sistema interconectado de ataques

A Sophos, empresa global em cibersegurança de próxima geração, publicou o Relatório de Ameaças Sophos 2022, que mostra como a força gravitacional do buraco negro de ransomware está puxando outras ameaças cibernéticas para formar um sistema interconectado de ataques — com sérias consequências para a segurança de TI. O documento, que contou com pesquisadores de segurança da SophosLabs e caçadores de ameaças e respostas rápidas da Sophos Managed Threat Response, além da equipe da Sophos AI, fornece uma perspectiva multidimensional sobre as ameaças e tendências de segurança que as organizações podem enfrentar em 2022.

O Relatório de Ameaças Sophos 2022 analisa as seguintes tendências
Ao longo do próximo ano, o cenário do ransomware se tornará mais modular e uniforme, com “especialistas” em ataques oferecendo diferentes opções de Ransomware-as-a-service (RaaS) e manuais de uso com ferramentas e técnicas que permitem que diferentes grupos implementem ataques semelhantes. De acordo com os pesquisadores da Sophos, os ataques de grupos de ransomware individuais deram lugar a mais ofertas de ransomware como serviço (RaaS) em 2021, com desenvolvedores especializados em fornecer códigos maliciosos e infraestrutura para afiliados terceirizados. Alguns dos casos de ransomware de maior destaque no ano envolveram RaaS, incluindo um ataque contra o Colonial Pipeline, nos Estados Unidos, por uma afiliada do DarkSide. Em outro momento, uma associada do ransomware Conti vazou o guia de implementação fornecido pelos operadores da empresa, que revelou as ferramentas e técnicas em um passo a passo que os cibercriminosos poderiam usar para implantar o ransomware.

Assim que encontram o malware que precisam, as pessoas associadas ao RaaS e outros operadores de ransomware podem recorrer aos IABs, Intermediadores de Acesso Inicial, e plataformas de distribuição do software para encontrar e direcionar às potenciais vítimas.

As ameaças cibernéticas consolidadas continuarão a se adaptar para fornecer e distribuir ransomware. Isso inclui loaders, droppers e outros malwares comuns, além de Intermediadores de Acesso Inicial cada vez mais avançados e operados por humanos, spam e adware. Em 2021, a Sophos informou sobre o Gootloader estar orquestrando novos ataques híbridos que combinam campanhas em massa com filtragens minuciosas para focar em pacotes de malware específicos.

O uso de várias formas de extorsão por criminosos especializados em ransomware para pressionar as vítimas a pagarem o resgate deve continuar e aumentar em alcance e intensidade. Em 2021, os responsáveis por respostas a incidentes da Sophos catalogaram 10 tipos diferentes de táticas de pressão, desde roubo e exposição de dados a chamadas telefônicas com ameaças, ataques distribuídos de negação de serviço (DDoS) e muito mais.

A criptomoeda continuará a alimentar os crimes cibernéticos, como ransomware e minerações maliciosas de cripto, e a Sophos espera que a tendência continue até que as criptomoedas globais sejam melhor regulamentadas. Durante 2021, os pesquisadores da Sophos descobriram criptomineradores como Lemon Duck, e o menos comum, MrbMiner, aproveitando o acesso fornecido por vulnerabilidades relatadas recentemente e alvos já violados por operadores de ransomware para instalá-los em computadores e servidores.

“O ransomware continua prosperando devido à sua capacidade de se adaptar e inovar”, conta Chester Wisniewski, Principal Cientista de Pesquisa da Sophos. “Por exemplo, embora as ofertas de RaaS não sejam novas, nos anos anteriores sua principal contribuição foi colocar o ransomware no alcance de invasores menos qualificados ou com menos recursos. Isso mudou e, em 2021, os desenvolvedores de RaaS estão investindo tempo e energia para criar códigos sofisticados e determinar a melhor forma de extrair os pagamentos das vítimas, seguradoras e negociadores. Agora eles estão transferindo para outros as tarefas de encontrar vítimas, instalar e executar o malware e lavar as criptomoedas roubadas. Isso está distorcendo o cenário da ameaça cibernética, e ameaças comuns como loaders, droppers e corretores de Acesso Inicial que existiam e causavam problemas muito antes da ascensão do ransomware, estão sendo sugadas para o buraco negro do ransomware”.

“Não é mais suficiente para as organizações presumirem que estão seguras simplesmente pelo monitoramento de ferramentas de segurança e garantir que elas detectam códigos maliciosos. Certas combinações de detecções ou mesmo avisos são o equivalente moderno de um ladrão quebrando um vaso de flores ao entrar por uma janela. Os defensores devem investigar os alertas, mesmo aqueles que no passado podem ter sido insignificantes, já que essas invasões comuns surgiram no ponto de apoio necessário para assumir o controle completo de redes”, completa Wisniewski.

Tendências adicionais analisadas pela Sophos incluem:
Depois que as vulnerabilidades ProxyLogon e ProxyShell foram descobertas (e corrigidas) em 2021, a velocidade com que foram apreendidas pelos invasores foi tanta, que a Sophos espera ver tentativas contínuas de abuso em massa de ferramentas de administração de TI e serviços exploráveis voltados para a Internet por invasores sofisticados e cibercriminosos comuns;

A Sophos também espera que os cibercriminosos aumentem o uso abusivo de ferramentas de simulação do adversário, como Cobalt Strike Beacons, mimikatz e PowerSploit. Os defensores devem verificar todos os alertas de ferramentas invadidas ou combinações de soluções, da mesma forma que checariam uma detecção maliciosa, pois isso pode indicar a presença de um intruso na rede;

Em 2021, os pesquisadores da Sophos detalharam uma série de novas ameaças direcionadas aos sistemas Linux e esperam ver um interesse crescente nesses sistemas durante 2022, tanto na nuvem quanto em servidores web e virtuais;

Prevê-se que ameaças móveis e golpes de engenharia social, incluindo Flubot e Joker, se mantenham e se diversifiquem para atingir novos indivíduos e organizações;

A aplicação de Inteligência Artificial para segurança cibernética continuará e se acelerará, à medida que modelos poderosos de Machine Learning comprovam seu valor na detecção de ameaças e na priorização de alertas. Ao mesmo tempo, no entanto, espera-se que os adversários façam uso crescente de IA, progredindo nos próximos anos, desde campanhas de desinformação habilitadas para IA e perfis de mídia social falsificados até conteúdo da web de ataque de watering-hole, e-mails de phishing e muito mais, como vídeos deepfake avançados e tecnologias de síntese de voz.

Para entender mais sobre o cenário de ameaças em 2021 e o que isso significa para a segurança de TI em 2022, leia o Relatório de Ameaças Sophos 2022 completo.

Serviço
www.sophos.com