Relatório de segurança da Cisco Talos aponta as principais ameaças cibernéticas

Em um novo aumento em comparação aos trimestres anteriores, o Cisco Talos Incident Response (Talos IR) relata que os Web Shells foram a ameaça mais observada no primeiro trimestre de 2023, compreendendo quase um quarto dos incidentes em que o Talos IR se envolveu. Web Shells e as vulnerabilidades e fraquezas específicas nas plataformas que visavam variavam. Embora cada Web Shell tivesse seus próprios conjuntos de funções básicas, quando havia vários deles presentes em um único envolvimento, os agentes de ameaças os encadeavam para fornecer um kit de ferramentas mais flexível para espalhar o acesso pela rede. Isso demonstra as habilidades que os atores têm em combinar vários meios de acesso e ferramentas e aumenta a probabilidade de que eles possam implantar malware adicional ou obter informações confidenciais e privadas.

O ransomware, por sua vez, representou uma parcela menor das ameaças observadas neste trimestre do que no passado, de 20% para cerca de 10%. Dado que o Talos IR observou um aumento recente de incidentes de ransomware no final do trimestre que não foram encerrados, essa diminuição não significa necessariamente um declínio na atividade geral de ransomware, mas sim um reflexo da atividade observada na base de clientes do Talos IR.

No entanto, os incidentes de ransomware e pré-ransomware combinados representam mais de 20% das ameaças observadas. Embora possa ser difícil determinar o que constitui um ataque pré-ransomware se o ransomware nunca for executado e a criptografia não ocorrer, muitos dos envolvimentos pré-ransomware apresentavam atividades associadas a grupos proeminentes de ransomware, como a Vice Society. Foi observado que neste trimestre, particularmente em um envolvimento da Vice Society mencionado anteriormente, a ação rápida dos defensores das organizações de vítimas, bem como do Talos IR, ajudou a mitigar a atividade maliciosa antes que a criptografia pudesse ocorrer.

Este trimestre também contou com carregadores de commodities vistos anteriormente, como o Qakbot. Em compromissos neste trimestre, o Qakbot aproveitou documentos maliciosos do OneNote, consistente com um aumento em vários malwares que distribuem anexos armados do Microsoft Office OneNote. Isso é a evidência de uma tendência contínua de agentes de ameaças experimentando tipos de arquivo que não dependem de macros para fornecer cargas maliciosas após a decisão da Microsoft de começar a desabilitar macros por padrão em seus aplicativos em julho de 2022.

Em 45% dos engajamentos, os invasores exploraram aplicativos voltados ao público para estabelecer o acesso inicial, um aumento significativo em relação aos 15% do trimestre anterior. Em muitos desses engajamentos, o uso de Web Shell contribuiu para esse aumento, onde os adversários estavam tentando comprometer os servidores baseados na Web expostos na Internet.

Os cuidados de saúde e saúde pública foram as verticais mais visadas neste trimestre, seguidas de perto pelos setores de retalho e comércio, imobiliário e restauração/alojamento, incluindo hotelaria.

Pico de uso de Web Shell

Desde janeiro de 2023, o Talos IR observou um aumento no uso de Web Shell de 6% de todas as ameaças no último trimestre para agora compreendendo quase 25% de todas as ameaças. Web Shells são scripts maliciosos que permitem que agentes de ameaças comprometam servidores baseados na Web expostos na Internet. Neste trimestre, a Talos observou agentes de ameaças usando Web Shells modificados ou disponíveis publicamente, codificados em vários linguagens, incluindo PHP, ASP.NET e Perl.

Depois de aproveitar os Web Shells para estabelecer uma posição e obter acesso persistente a um sistema, os adversários executaram códigos ou comandos arbitrários remotamente, moveram-se lateralmente dentro da rede ou entregaram cargas maliciosas adicionais. Em muitos desses incidentes, os adversários confiaram fortemente no código de Web Shell proveniente de repositórios GitHub disponíveis publicamente, onde os adversários usaram uma variedade de ferramentas e scripts de código aberto hospedados em repositórios GitHub para dar suporte a operações em vários estágios do ciclo de vida do ataque.

Ransomware

O ransomware representou uma parcela muito menor das ameaças neste trimestre, de 20% para 10%. Olhando para o futuro, houve um aumento recente nos engajamentos de ransomware, que esperamos nivelar novamente no próximo trimestre. Combinados, os incidentes de ransomware e pré-ransomware representam mais de 20% das ameaças observadas.

Em um envolvimento do ransomware Phobos, uma ameaça à qual o Talos IR responde desde 2020, o acesso inicial provavelmente envolveu o protocolo de área de trabalho remota (RDP). O adversário implantou um arquivo chamado “mimidrv.sys”, que é um driver de software do modo kernel do Windows assinado para ser usado com o executável Mimikatz.

O Talos IR também identificou sete itens de inicialização que incluíam o download do executável ransomware, “Fast.exe”. Essa é uma técnica de persistência comum que se seguiu a atividades em que o adversário fez modificações no registro no servidor Amazon Relational Database Service (RDS) do cliente. Após a criptografia, os invasores criptografaram os arquivos, anexando-os com a extensão “.faust” e liberaram um resgate nota sobre os sistemas visados.

Este trimestre também apresentou o ransomware Daixin, uma família mais recente de ransomware como serviço (RaaS) que o Talos IR nunca havia visto antes em um compromisso. O Daixin, que surgiu pela primeira vez em junho de 2022, normalmente envolve afiliados obtendo acesso a sistemas de vítimas por meio de servidores de redes privadas virtuais (VPN) ou explorando vulnerabilidades não corrigidas, de acordo compara a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA).

Embora o Talos IR não tenha respondido a nenhum incidente do Emotet neste trimestre, o Emotet ressurgiu em março de 2023, retomando suas operações de spam após um hiato de meses. Em um período relativamente curto, o Emotet modificou sua cadeia de infecção várias vezes para maximizar a probabilidade de infectar as vítimas com sucesso. Em meados de março, a Emotet passou a distribuir documentos maliciosos do OneNote, destacando as maneiras pelas quais os agentes de ameaças continuarão a identificar e implementar rapidamente métodos de entrega atualizados para infectar as vítimas.

Fraquezas de segurança

A falta de autenticação multifator (MFA) continua sendo um dos maiores impedimentos para a segurança corporativa. Quase 30% dos compromissos envolviam organizações que não tinham MFA ou tinham apenas um punhado de contas e serviços críticos ativados. O Talos IR frequentemente observa incidentes de ransomware e phishing que poderiam ter sido evitados se o MFA tivesse sido habilitado corretamente em serviços críticos, como soluções de resposta de detecção de endpoint (EDR) ou VPNs. Para ajudar a minimizar os vetores de acesso inicial, o Talos IR recomenda desabilitar o acesso VPN para todas as contas que não usam MFA.

O aumento de engajamentos de Web Shells destaca a necessidade de mais vigilância para ajudar a prevenir os incidentes. O Talos fornece as seguintes recomendações:

– Atualize e corrija rotineiramente todos os softwares e sistemas operacionais para identificar e corrigir vulnerabilidades ou configurações incorretas em aplicativos e servidores da Web.

– Além de corrigir, execute a proteção geral do sistema, incluindo a remoção de serviços ou protocolos onde eles são desnecessários e esteja ciente de todos os sistemas expostos diretamente à Internet.

– Desative funções php desnecessárias em seu “php.ini”, como eval(), exec(), peopen(), proc_open() e passthru().

– Audite e analise com frequência os logs dos servidores da Web em busca de atividades incomuns ou anômalas.

Serviço
www.talosintelligence.com