Relatório de segurança da IBM alerta para vulnerabilidades em credenciais

A IBM apresentou nesta quarta-feira (21/2) as descobertas do relatório de cibersegurança X-Force Threat Intelligence Index 2024, destacando uma crise de identidade global emergente, à medida que os cibercriminosos dobram a aposta na exploração de identidades de usuários para comprometer empresas em todo o mundo. De acordo com o IBM X-Force, braço de serviços de segurança ofensiva e defensiva da IBM Consulting, em 2023, os cibercriminosos viram mais oportunidades de “fazer login” por meio de contas válidas do que invadir redes corporativas, tornando essa tática uma arma preferida para os agentes de ameaças.

O X-Force Threat Intelligence Index é baseado em insights e observações do monitoramento de mais de 150 bilhões de eventos de segurança por dia em mais de 130 países. Além disso, os dados são coletados e analisados de várias fontes dentro da IBM, incluindo IBM X-Force Threat Intelligence, Incident Response, X-Force Red, IBM Managed Security Services e dados fornecidos pela Red Hat Insights e Intezer, que contribuíram para o relatório de 2024.

Alguns dos principais destaques incluem:

Ataques a infraestruturas críticas revelam “falsidades” da indústria: em quase 85% dos ataques a setores críticos, o comprometimento poderia ter sido mitigado com patches, autenticação multifator ou princípios de privilégios mínimos – indicando que o que o setor de segurança historicamente descreveu como “segurança básica” pode ser mais difícil de alcançar do que o retratado.

Os grupos de ransomware migram para um modelo de negócios mais enxuto: os ataques de ransomware a empresas tiveram uma queda de quase 12% no ano passado, à medida que organizações maiores optam por não pagar e descriptografar em favor da reconstrução de sua infraestrutura. Com essa reação crescente provavelmente impactando as expectativas de receita dos adversários com extorsão baseada em criptografia, grupos que anteriormente se especializaram em ransomware foram observados migrando para infostealers.

O ROI de ataques à IA generativa ainda não existe: a análise do X-Force projeta que quando uma única tecnologia de IA generativa se aproxima de 50% de participação de mercado ou quando o mercado se consolida em três ou menos tecnologias, ela pode desencadear ataques em escala contra essas plataformas.

“Embora os ‘fundamentos de segurança’ não tenham tantas voltas de cabeça quanto os ‘ataques projetados por IA’, continua sendo que o maior problema de segurança das empresas se resume ao básico e conhecido – não ao novo e desconhecido”, disse Charles Henderson, Global Managing Partner da IBM Consulting e chefe do IBM X-Force. “A identidade está sendo usada contra as empresas repetidas vezes, um problema que se agravará à medida que os adversários investirem em IA para otimizar a tática”, observou.

Uma crise de identidade global prestes a se agravar

Explorar contas válidas se tornou o caminho de menor resistência para os cibercriminosos, com bilhões de credenciais comprometidas acessíveis na Dark Web hoje. Em 2023, o IBM X-Force viu os invasores investirem cada vez mais em operações para obter as identidades dos usuários – com um aumento de 266% no malware de roubo de informações, projetado para roubar informações pessoais identificáveis, como e-mails, credenciais de aplicativos de mídia social e mensagens, detalhes bancários, dados de carteiras de criptomoedas e muito mais.

Essa “entrada fácil” para os invasores é mais difícil de detectar, provocando uma resposta dispendiosa das empresas. De acordo com o X-Force, grandes incidentes causados por invasores usando contas válidas foram associados a medidas de resposta quase 200% mais complexas por equipes de segurança do que o incidente médio – com os defensores precisando distinguir entre atividade de usuário legítimo e malicioso na rede. Na verdade, o Relatório de Custo de Violação de Dados de 2023 da IBM descobriu que violações causadas por credenciais roubadas ou comprometidas exigiram cerca de 11 meses para detectar e se recuperar – o ciclo de vida de resposta mais longo do que qualquer outro vetor de infecção.

Esse amplo alcance na atividade online dos usuários ficou evidente na derrubada pelo FBI e pelas autoridades europeias em abril de 2023 de um fórum global de crimes cibernéticos que coletou os detalhes de login de mais de 80 milhões de contas de usuários. As ameaças baseadas em identidade provavelmente continuarão a crescer à medida que os adversários aproveitam a IA generativa para otimizar seus ataques. Já em 2023, o X-Force observou mais de 800 mil postagens sobre IA e GPT em fóruns da Dark Web, reafirmando que essas inovações chamaram a atenção e o interesse dos cibercriminosos.

Redes de infraestrutura crítica

Em todo o mundo, quase 70% dos ataques aos quais o IBM X-Force respondeu foram contra organizações de infraestrutura crítica, uma descoberta alarmante que destaca que os cibercriminosos estão apostando na necessidade de tempo de atividade desses alvos de alto valor para avançar em seus objetivos.

Quase 85% dos ataques que o X-Force respondeu neste setor foram causados pela exploração de aplicativos públicos, e-mails de phishing e o uso de contas válidas. Este último representa um risco aumentado para o setor, com o DHS CISA afirmando que a maioria dos ataques bem-sucedidos a agências governamentais, organizações de infraestrutura crítica e órgãos governamentais estaduais em 2022 envolveu o uso de contas válidas. Isso destaca a necessidade de que essas organizações testem frequentemente seus ambientes em busca de exposições potenciais e desenvolvam planos de resposta a incidentes.

IA generativa – a próxima grande fronteira a ser protegida

Para que os cibercriminosos vejam o ROI de suas campanhas, as tecnologias que eles segmentam devem ser onipresentes na maioria das organizações em todo o mundo. Assim como os facilitadores tecnológicos anteriores fomentaram atividades cibercriminosas – como observado com ransomware e domínio de mercado do Windows Server, golpes BEC e domínio do Microsoft 365 ou cryptojacking e a consolidação do mercado de infraestrutura como serviço – esse padrão provavelmente se estenderá por toda a IA.

O IBM X-Force avalia que, uma vez estabelecido o domínio generativo do mercado de IA – onde uma única tecnologia se aproxima de 50% de participação de mercado ou quando o mercado se consolida em três ou menos tecnologias – isso pode desencadear a maturidade da IA como superfície de ataque, mobilizando mais investimentos em novas ferramentas dos cibercriminosos. Embora a IA generativa esteja atualmente em seu estágio pré-mercado de massa, é fundamental que as empresas protejam seus modelos de IA antes que os cibercriminosos escalem sua atividade. As empresas também devem reconhecer que sua infraestrutura subjacente existente é uma porta de entrada para seus modelos de IA que não requer novas táticas de invasores para atingir – destacando a necessidade de uma abordagem holística para a segurança na era da IA generativa, conforme descrito no IBM Framework for Securing Generative AI.

Achados adicionais

Europa, alvo preferencial dos adversários – Quase um em cada três ataques observados em todo o mundo teve como alvo a Europa, com a região também sofrendo o maior número de ataques de ransomware globalmente (26%).

Para onde foi todo o phish? – Apesar de continuar sendo um dos principais vetores de infecção, os ataques de phishing tiveram uma queda de 44% no volume em relação a 2022. Mas com a IA pronta para otimizar esse ataque e pesquisas do X-Force indicando que a IA pode acelerar os ataques em quase dois dias, o vetor de infecção continuará sendo uma escolha preferida para os cibercriminosos.

Todos estão vulneráveis – O Red Hat Insights descobriu que 92% dos clientes têm pelo menos um CVE com explorações conhecidas não abordadas em seu ambiente no momento da verificação, enquanto 80% das dez principais vulnerabilidades detectadas em sistemas em 2023 receberam uma pontuação de gravidade básica CVSS “Alta” ou “Crítica”.

Kerberoasting compensa – O X-Force observou um aumento de 100% nos ataques de kerberoasting, em que os invasores tentam se passar por usuários para escalar privilégios abusando dos tíquetes do Microsoft Active Directory.

Configurações incorretas de segurança – Os testes de penetração do X-Force Red indicam que as configurações incorretas de segurança representaram 30% do total de exposições identificadas, observando mais de 140 maneiras pelas quais os invasores podem explorar configurações incorretas.

Serviço
www.ibm.com