Relatório de segurança da Darktrace revela aumento de ameaças como serviço

A Darktrace, empresa global de segurança cibernética, anunciou nesta quarta-feira (19/2) as descobertas do Relatório Anual de Ameaças de 2024 da Darktrace, revelando que o Malware as a Service (MaaS) agora é responsável por mais da metade (57%) de todas as ameaças cibernéticas às organizações, marcando o crescimento contínuo dos modelos de cibercrime como serviço (CaaS). Esses insights, observados pela equipe de pesquisa de ameaças da Darktrace usando sua IA de autoaprendizagem exclusiva em sua frota de clientes de quase 10 mil clientes em todos os principais setores do mundo, detalham um cenário de ameaças em mudança que continua a crescer em complexidade, marcado pela crescente sofisticação de ameaças comuns.

A persistência dos modelos CaaS, particularmente Ransomware-as-a-Service (RaaS) e MaaS, está crescendo rapidamente à medida que agentes de ameaças menos experientes acessam novas ferramentas para realizar ataques disruptivos. De acordo com o relatório, o uso de ferramentas MaaS aumentou 17% no segundo semestre de 2024, de 40% nos primeiros seis meses para 57% da atividade de campanha identificada pela Darktrace Threat Research.

O uso de Trojans de Acesso Remoto (RATs) também teve um aumento significativo na segunda metade do ano, representando 46% da atividade de campanha identificada, em comparação com apenas 12% no primeiro semestre. Os RATs permitem que um invasor controle remotamente um dispositivo infectado, permitindo que ele conduza outras atividades maliciosas, como exfiltração de dados, roubo de credenciais ou vigilância, ressaltando a crescente complexidade e o aumento do risco de ameaças do dia a dia.

A equipe de pesquisa de ameaças da Darktrace rastreou várias ameaças de ransomware que afetam os clientes, desde novas cepas como Lynx até ameaças emergentes, incluindo Akira, RansomHub, Black Basta, Fog e Qilin. Embora esses grupos tenham sido observados frequentemente usando phishing como vetor de ataque, também houve uma mudança para técnicas mais sofisticadas. Isso inclui o uso de ferramentas legítimas como AnyDesk e Atera para mascarar comunicações de comando e controle (C2), técnicas LOTL para movimento lateral, exfiltração de dados para serviços de armazenamento em nuvem comumente usados e uso de tecnologia de transferência de arquivos para exploração rápida e métodos de dupla extorsão.

Caixas de entrada sitiadas

O phishing continua sendo a técnica preferida dos invasores, com mais de 30,4 milhões de e-mails de phishing detectados na frota de clientes da Darktrace entre dezembro de 2023 e dezembro de 2024. As técnicas observadas destacam como os agentes de ameaças continuam a selecionar e-mails mais direcionados e sofisticados para melhorar o sucesso de suas campanhas. De todos os e-mails de phishing detectados em 2024:

– 38% foram tentativas de spear phishing, ataques personalizados a indivíduos de alto valor.

– 32% usaram novas técnicas de engenharia social, incluindo texto gerado por IA com complexidade linguística, como aumento do volume de texto, pontuação e comprimento da frase.

– 70% passaram com sucesso na abordagem de autenticação DMARC amplamente usada.

– 55% passaram por todas as camadas de segurança existentes antes da detecção pela Darktrace.

– Mais de 940 mil códigos QR maliciosos foram identificados.

A Darktrace também observou um aumento nos agentes de ameaças direcionados a serviços de terceiros nos quais os funcionários confiam, como Zoom Docs, QuickBooks, HelloSign, Adobe e Microsoft SharePoint, para enviar e-mails de phishing. Ao aproveitar plataformas e domínios confiáveis, os agentes mal-intencionados podem contornar as medidas de segurança tradicionais e aumentar a probabilidade de suas tentativas de phishing serem bem-sucedidas. Esses esforços destacam como os agentes de ameaças se adaptam e evoluem continuamente para acompanhar o surgimento de novas tecnologias que representam novos caminhos a serem explorados.

“O e-mail está na vanguarda das ameaças em evolução que estamos vendo em todo o cenário de ameaças. As ferramentas de Ransomware como Serviço, combinadas com o uso crescente de IA, estão permitindo que até mesmo invasores pouco qualificados projetem ataques de e-mail direcionados e convincentes em escala e tornando mais difícil do que nunca para as medidas de segurança tradicionais acompanharem”, disse Nathaniel Jones, vice-presidente de Pesquisa de Ameaças da Darktrace.

Evitando a detecção por meio de vulnerabilidades de dispositivos de Borda e técnicas LOTL

Os agentes de ameaças estão cada vez mais focados em evitar a detecção em vez de causar interrupções, muitas vezes aproveitando vulnerabilidades em dispositivos de Borda, perímetro ou voltados para a Internet para obter acesso inicial às redes e, em seguida, usando técnicas LOTL, o uso malicioso de ferramentas legítimas presentes em um sistema, para permanecer indetectável.

Além das vulnerabilidades, a Darktrace também observou que os agentes de ameaças usam cada vez mais credenciais roubadas para fazer login em soluções de acesso remoto à rede, como VPNs, para obter acesso inicial às redes. Após o acesso inicial, os agentes de ameaças usarão ferramentas e processos legítimos já presentes nos sistemas infectados para atingir seus objetivos, permanecendo sem serem detectados.

Muitas ferramentas tradicionais lutam para identificar e interromper esses ataques, pois a diferenciação entre o uso legítimo por administradores e o uso mal-intencionado por invasores é um desafio sem uma linha de base estabelecida do comportamento normal do usuário. Embora frequentemente usadas por atores mais sofisticados, como Ameaças Persistentes Avançadas (APTs), as empresas criminosas menores também se beneficiam da exploração de ferramentas nativas, economizando tempo e dinheiro, evitando a necessidade de desenvolvimento de malware personalizado que pode ser bloqueado por ferramentas de segurança tradicionais quando os indicadores de comprometimento (IoCs) são publicados.