CLM e Picus Security alertam para pandemia do malware Hunter-killer

A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, Cloud e infraestrutura para Data Centers, alerta para a pandemia mundial do malware Hunter-killer, descoberto pela Picus Security, empresa de validação de segurança. Esta praga, que desativa os controles de segurança, teve um crescimento 333% em 2023, segundo o Picus Red Report 2024, realizado pela Picus.

Em seu quarto relatório anual, o Picus Labs, unidade de pesquisa da Picus Security, analisou 667.401 arquivos, dos quais 612.080 (92%) foram categorizados como maliciosos, a partir de amostras dos ataques perpetrados entre janeiro e dezembro de 2023. Também identificou as técnicas mais comuns utilizadas pelos invasores e descobriu uma pandemia do Hunter-killer.

Para Tom Camargo, vice-presidente da CLM, que distribui as soluções da Picus na América Latina, a descoberta do Picus Labs demonstra uma mudança drástica na capacidade de os ciberatacantes identificarem e neutralizarem as avançadas defesas empresariais, como firewalls, antivírus e EDRs de última geração. “O nome do malware Hunter Killer (caçador assassino) é uma alusão ao filme de 2018, que no Brasil se chama Fúria em Alto Mar, e se passa em um submarino dos Estados Unidos que vigia ações da Rússia. O fato é que esta praga tem capacidade para atingir e desativar os sistemas de defesa”, explica.

O Hunter Killer é altamente ardiloso e agressivo, age silenciosamente e lança ataques destrutivos para derrotar as defesas corporativas. A Picus explica que novos malwares são projetados não apenas para escapar das ferramentas de detecção, mas também para derrubá-las. Para combater o Hunter killer, a CLM e a Picus incentivam a adoção Inteligência Artificial, com aprendizado de máquina, soluções e proteção das credenciais dos usuários e validação constantes das defesas contra as táticas e técnicas mais recentes dos cibercriminosos.

O estudo descobriu também que 70% dos malwares empregam técnicas furtivas para burlar a detecção e para se manterem nas redes. “Acreditamos que os cibercriminosos estão mudando de atitude em resposta à melhoria significativa da cibersegurança das empresas e às ferramentas amplamente utilizadas, que oferecem recursos muito mais avançados para detectar ameaças. Há um ano, era relativamente raro os atacantes desativarem os controles de segurança. Agora, esse comportamento é observado em um quarto das amostras de malware e é usado por praticamente todos os grupos de ransomware e grupos APT”, diz o Picus Red Report 2024.

Houve um aumento de 150% no uso de arquivos ou informações ofuscadas, o que mostra uma tendência de atrapalhar a eficácia da segurança e ofuscar atividades maliciosas para complicar a detecção dos ataques, a análise forense e os esforços de resposta a incidentes.

O levantamento revela outra tendência preocupante: 21% das amostras de malware analisadas têm a capacidade de criptografar dados. Além disso, identificou um aumento de 176% no uso do protocolo T1071 Application Layer, que é implantado para exfiltração de dados, como parte de esquemas sofisticados de dupla extorsão. Casos de destaque de ransomwares em 2023 testemunham o impacto crítico dessas técnicas, que desempenharam papéis essenciais em ataques como o BlackCat/AlphV contra NCR e Henry Schein, Cl0p contra o Departamento de Energia dos EUA, Royal que invadiu a cidade de Dallas, ataques de LockBit na Boeing, CDW e MCNA e o Scattered Spider que se infiltrou no MGM Resorts e no Caesars Entertainment.

Pode ser muitíssimo difícil detectar se um ataque desativou ou reconfigurou ferramentas de segurança, porque elas ainda parecem funcionar conforme o esperado. A prevenção de ataques requer o uso de múltiplos controles de segurança com uma abordagem de defesa em profundidade. A validação de segurança deve ser o ponto de partida para que as organizações compreendam melhor a sua preparação e identifiquem as lacunas.

A menos que uma organização simule proativamente ataques para avaliar a resposta de seus sistemas de e-mail, firewalls, EPP, EDR, XDR, SIEM e outros sistemas defensivos que possam ser enfraquecidos ou eliminados pelo malware Hunter-killer, ninguém saberá que estão inativos até que seja tarde demais.