Relatório CrowdStrike mostra aumento de 95% no roubo de dados na Nuvem

Os ataques cibernéticos que exploram lacunas na infraestrutura de Nuvem – para roubar credenciais, identidades e dados – dispararam em 2022, crescendo 95%, com casos envolvendo agentes de ameaças “conscientes da Nuvem” triplicando ano a ano, de acordo com o Relatório de Ameaças Globais de 2023 da CrowdStrike.

O relatório mostra que os malfeitores estão se afastando da desativação de tecnologias antivírus e de firewall e dos esforços de adulteração de logs, buscando, em vez disso, “modificar os processos de autenticação e atacar identidades”, conclui.

Hoje, as identidades estão sitiadas em um vasto cenário de ameaças. Por que identidades e credenciais de acesso privilegiado são os alvos principais? É porque os invasores querem se tornar corretores de acesso e vender informações furtadas em massa a preços altos na Dark Web.

O relatório da CrowdStrike fornece uma visão sóbria da rapidez com que os invasores estão se reinventando como corretores de acesso e como suas classificações estão crescendo. O relatório encontrou um aumento de 20% no número de adversários perseguindo roubo de dados em Nuvem e campanhas de extorsão, e o maior aumento no número de adversários – 33 novos descobertos em apenas um ano. Os invasores Prolific Scattered Spider e Slippery Spider estão por trás de muitos ataques recentes de alto nível em empresas de telecomunicações, BPO e tecnologia.

Os invasores estão se transformando digitalmente mais rápido do que as empresas podem acompanhar, rearmando e explorando vulnerabilidades. A CrowdStrike encontrou agentes de ameaças contornando patches e evitando mitigações ao longo do ano.

O relatório afirma que “a equipe CrowdStrikeFalcon OverWatch mede o tempo de interrupção – o tempo que um adversário leva para se mover lateralmente, de um host inicialmente comprometido para outro host dentro do ambiente da vítima. O tempo médio de interrupção da atividade de invasão interativa do eCrime caiu de 98 minutos em 2021 para 84 minutos em 2022.”

Os CISOs e suas equipes precisam responder mais rapidamente, à medida que a janela de tempo de interrupção diminui, para minimizar custos e danos auxiliares causados ​​por invasores. A CrowdStrike aconselha as equipes de segurança a cumprir a regra 1-10-60: detectar ameaças no primeiro minuto, entender as ameaças em 10 minutos e responder em 60 minutos.

Negócios na Dark Web

Os corretores de acesso estão criando um negócio próspero na Dark Web, onde comercializam credenciais e identidades roubadas para invasores de ransomware em massa. A equipe de inteligência da CrowdStrike descobriu que o governo, os serviços financeiros e as organizações industriais e de engenharia tinham o preço médio mais alto pedido pelo acesso.

Como eles oferecem negócios em massa de centenas a milhares de identidades roubadas e credenciais de acesso privilegiado, os corretores de acesso estão usando a técnica de “um-acesso-um-leilão”, de acordo com a equipe de inteligência da CrowdStrike. A equipe escreve, “Os métodos de acesso usados ​​pelos corretores permaneceram relativamente consistentes desde 2021. Uma tática predominante envolve o abuso de credenciais comprometidas que foram adquiridas por meio de ladrões de informações ou compradas em lojas de log no submundo do crime”.

Os corretores de acesso e as corretoras que eles criaram são negócios ilegais em expansão. O relatório encontrou mais de 2,5 mil anúncios de corretores de acesso oferecendo credenciais e identidades roubadas para venda. Isso representa um aumento de 112% em relação a 2021.

A equipe de inteligência da CrowdStrike cria o relatório com base em uma análise dos trilhões de eventos diários coletados da plataforma CrowdStrike Falcon e insights do CrowdStrike Falcon OverWatch.

Ataques começam no endpoint

As evidências continuam a mostrar que a computação em Nuvem está crescendo como um playground para pessoas mal-intencionadas. A exploração da nuvem cresceu 95% e o número de casos envolvendo agentes de ameaças “conscientes da Nuvem” quase triplicou ano a ano, pelo que foi mensurado pela CrowdStrike.

“Há evidências crescentes de que os adversários estão ficando mais confiantes em alavancar endpoints tradicionais para migrar para a infraestrutura de nuvem”, escreveu o CrowdStrike Intelligence Team, sinalizando uma mudança nas estratégias de ataque do passado. O relatório continua, “o inverso também é verdadeiro: a infraestrutura de nuvem está sendo usada como um gateway para endpoints tradicionais”.

Depois que um endpoint é comprometido, os invasores geralmente perseguem o coração de uma pilha de tecnologia de segurança cibernética, começando com identidades e credenciais de acesso privilegiado e removendo o acesso à conta. Eles geralmente passam para a destruição de dados, exclusão de recursos e interrupção ou destruição de serviços.

Serviço
www.crowdstrike.com