Ransomware foi a principal ameaça do quarto trimestre de 2023, diz Talos

O ransomware, incluindo a atividade pré-ransomware, foi a principal ameaça observada no quarto trimestre de 2023 (4T23), respondendo por 28% dos engajamentos, de acordo com o Cisco Talos Incident Response (Talos IR), notavelmente um aumento de 17% em relação ao trimestre anterior. O Talos IR observou operações envolvendo o ransomware Play, Cactus, BlackSuit e NoEscape pela primeira vez no trimestre.

Segundo o relatório divulgado, as áreas de Educação e Manufatura ficaram empatadas entre as verticais mais visadas, representando juntas quase 50% do número total de compromissos de resposta a incidentes, seguidas de perto pela Saúde e Governo. Em comparação com o trimestre anterior, foi observado apenas um ligeiro aumento nos engajamentos direcionados ao setor de Educação, enquanto houve um aumento de 10% nos engajamentos que afetam a vertical de Manufatura.

Os adversários geralmente têm como alvo entidades do setor educacional para realizar ataques de ransomware ou acessar informações confidenciais de identificação pessoal (PII) de alunos e professores, como dados financeiros e credenciais. Escolas com capacidades limitadas de segurança cibernética e recursos restritos são frequentemente as mais vulneráveis, já que a segurança continua sendo um centro de custo. No entanto, o direcionamento oportunista empregado por adversários ainda pode colocar em risco distritos escolares com programas robustos de segurança cibernética. Os dados de PII exfiltrados continuam sendo um alvo atraente que é aproveitado para ataques subsequentes, vendidos em fóruns da Dark Web ou usados para roubo monetário.

O setor manufatureiro enfrenta desafios únicos devido à sua inerentemente baixa tolerância ao tempo de inatividade operacional. O papel crucial do setor na produção de bens fundamentais para vários outros setores de infraestrutura crítica significa que qualquer interrupção nos processos de fabricação não afeta apenas a própria indústria, mas pode ter efeitos em cascata na cadeia de suprimentos e nos setores dependentes. Os ataques à cadeia de suprimentos são uma preocupação para o setor de manufatura, pois tais incidentes podem criar condições instáveis da cadeia de suprimentos que exigem atenção e ação imediatas para proteger ativos, operações e/ou reputação.

Outras ameaças observadas

Em um envolvimento com ameaças internas, um ex-funcionário descontente cuja conta não foi devidamente desativada removeu remotamente todas as configurações em um switch de rede antes de reiniciá-lo, o que restaurou funcionalmente o switch para sua configuração padrão de fábrica. Um switch é uma peça de hardware que conecta dispositivos de rede e ajuda a gerenciar todo o tráfego. Quando um switch falha, ele pode levar ao tempo de inatividade da rede, perda de produtividade e potencialmente expor a rede a riscos de segurança. O Talos recomenda que as organizações implementem procedimentos seguros de off-boarding para proteger a confidencialidade, integridade e disponibilidade de dados confidenciais.

Em outro caso, vários funcionários receberam e-mails de spear phishing com códigos QR maliciosos que, quando verificados, levaram a uma página de login falsa do Microsoft 365. Uma vez que os invasores obtiveram credenciais roubadas, eles passaram a usar um ataque de exaustão MFA que resultou em alguns funcionários aprovando as notificações push em seus dispositivos móveis. Em um ataque de exaustão MFA, um adversário espera sobrecarregar os usuários com notificações push MFA na esperança de que eles inadvertidamente concedam acesso.

Os ataques de phishing que utilizam códigos QR são preocupantes porque, se bem-sucedidos, os funcionários provavelmente usarão seus dispositivos móveis, o que leva os defensores a perderem visibilidade. Além disso, a maioria das soluções de segurança de e-mail, como gateways de e-mail seguros (SEGs), não pode detectar códigos QR maliciosos. Com o trabalho remoto se expandindo após a pandemia de Covid-19, mais funcionários estão acessando informações comerciais de seus dispositivos móveis. De acordo com um relatório de 2023, da empresa de cibersegurança Agency, 97% dos entrevistados acessam suas contas de trabalho a partir de seus dispositivos. O Talos recomenda que as organizações implementem uma plataforma de gerenciamento de dispositivos móveis (MDM) ou uma ferramenta de segurança móvel semelhante, como o Cisco Umbrella, em todos os dispositivos móveis não gerenciados que têm acesso a informações comerciais.

Pontos fracos de segurança

A falta de Autenticação Multifator (MFA) ou implementação inadequada de MFA em todas as contas de usuário, bem como sistemas mal configurados ou não corrigidos, desempenharam um papel em 36% dos compromissos que o Talos IR respondeu neste trimestre. O Talos IR frequentemente observa ataques que poderiam ter sido evitados se a MFA estivesse habilitada em serviços críticos, como RDP. O Talos IR recomenda expandir MFA para todas as contas de usuário (por exemplo, funcionários, contratados, parceiros de negócios etc.).

Em alguns compromissos, os adversários tentaram contornar a MFA com ataques de exaustão ou fadiga da MFA. Os usuários devem ter uma compreensão clara dos protocolos de resposta de negócios apropriados quando seus dispositivos estão sobrecarregados com um volume excessivo de notificações por push. Recomenda-se que as organizações eduquem seus funcionários sobre os canais e pontos de contato específicos para relatar esses incidentes. Relatórios rápidos e precisos permitem que as equipes de segurança identifiquem rapidamente a natureza do problema e implementem as medidas necessárias para resolver a situação de forma eficaz.

Software atualizado é outro aspecto crucial da postura de segurança de uma organização, já que sistemas desatualizados apresentam caminhos exploráveis para os invasores aproveitarem. Os invasores geralmente exploram essas vulnerabilidades de software para alcançar uma infinidade de objetivos pós-compromisso, como escalonamento de privilégios e movimentação lateral. Embora o gerenciamento de vulnerabilidades e patches seja crítico, nem sempre é possível aplicar imediatamente todos os patches de segurança devido à complexidade das redes corporativas. O Talos IR recomenda priorizar as vulnerabilidades que representam as maiores ameaças para evitar a exploração.

Serviço
www.talosintelligence.com