Os ataques cibernéticos que exploram lacunas na infraestrutura de Nuvem – para roubar credenciais, identidades e dados – dispararam em 2022, crescendo 95%, com casos envolvendo agentes de ameaças “conscientes da Nuvem” triplicando ano a ano, de acordo com o Relatório de Ameaças Globais de 2023 da CrowdStrike.
O relatório mostra que os malfeitores estão se afastando da desativação de tecnologias antivírus e de firewall e dos esforços de adulteração de logs, buscando, em vez disso, “modificar os processos de autenticação e atacar identidades”, conclui.
Hoje, as identidades estão sitiadas em um vasto cenário de ameaças. Por que identidades e credenciais de acesso privilegiado são os alvos principais? É porque os invasores querem se tornar corretores de acesso e vender informações furtadas em massa a preços altos na Dark Web.
O relatório da CrowdStrike fornece uma visão sóbria da rapidez com que os invasores estão se reinventando como corretores de acesso e como suas classificações estão crescendo. O relatório encontrou um aumento de 20% no número de adversários perseguindo roubo de dados em Nuvem e campanhas de extorsão, e o maior aumento no número de adversários – 33 novos descobertos em apenas um ano. Os invasores Prolific Scattered Spider e Slippery Spider estão por trás de muitos ataques recentes de alto nível em empresas de telecomunicações, BPO e tecnologia.
Os invasores estão se transformando digitalmente mais rápido do que as empresas podem acompanhar, rearmando e explorando vulnerabilidades. A CrowdStrike encontrou agentes de ameaças contornando patches e evitando mitigações ao longo do ano.
O relatório afirma que “a equipe CrowdStrikeFalcon OverWatch mede o tempo de interrupção – o tempo que um adversário leva para se mover lateralmente, de um host inicialmente comprometido para outro host dentro do ambiente da vítima. O tempo médio de interrupção da atividade de invasão interativa do eCrime caiu de 98 minutos em 2021 para 84 minutos em 2022.”
Os CISOs e suas equipes precisam responder mais rapidamente, à medida que a janela de tempo de interrupção diminui, para minimizar custos e danos auxiliares causados por invasores. A CrowdStrike aconselha as equipes de segurança a cumprir a regra 1-10-60: detectar ameaças no primeiro minuto, entender as ameaças em 10 minutos e responder em 60 minutos.
Negócios na Dark Web
Os corretores de acesso estão criando um negócio próspero na Dark Web, onde comercializam credenciais e identidades roubadas para invasores de ransomware em massa. A equipe de inteligência da CrowdStrike descobriu que o governo, os serviços financeiros e as organizações industriais e de engenharia tinham o preço médio mais alto pedido pelo acesso.
Como eles oferecem negócios em massa de centenas a milhares de identidades roubadas e credenciais de acesso privilegiado, os corretores de acesso estão usando a técnica de “um-acesso-um-leilão”, de acordo com a equipe de inteligência da CrowdStrike. A equipe escreve, “Os métodos de acesso usados pelos corretores permaneceram relativamente consistentes desde 2021. Uma tática predominante envolve o abuso de credenciais comprometidas que foram adquiridas por meio de ladrões de informações ou compradas em lojas de log no submundo do crime”.
Os corretores de acesso e as corretoras que eles criaram são negócios ilegais em expansão. O relatório encontrou mais de 2,5 mil anúncios de corretores de acesso oferecendo credenciais e identidades roubadas para venda. Isso representa um aumento de 112% em relação a 2021.
A equipe de inteligência da CrowdStrike cria o relatório com base em uma análise dos trilhões de eventos diários coletados da plataforma CrowdStrike Falcon e insights do CrowdStrike Falcon OverWatch.
Ataques começam no endpoint
As evidências continuam a mostrar que a computação em Nuvem está crescendo como um playground para pessoas mal-intencionadas. A exploração da nuvem cresceu 95% e o número de casos envolvendo agentes de ameaças “conscientes da Nuvem” quase triplicou ano a ano, pelo que foi mensurado pela CrowdStrike.
“Há evidências crescentes de que os adversários estão ficando mais confiantes em alavancar endpoints tradicionais para migrar para a infraestrutura de nuvem”, escreveu o CrowdStrike Intelligence Team, sinalizando uma mudança nas estratégias de ataque do passado. O relatório continua, “o inverso também é verdadeiro: a infraestrutura de nuvem está sendo usada como um gateway para endpoints tradicionais”.
Depois que um endpoint é comprometido, os invasores geralmente perseguem o coração de uma pilha de tecnologia de segurança cibernética, começando com identidades e credenciais de acesso privilegiado e removendo o acesso à conta. Eles geralmente passam para a destruição de dados, exclusão de recursos e interrupção ou destruição de serviços.
Serviço
www.crowdstrike.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo