Cenário de ameaças à segurança cibernética: resumo do quarto trimestre de 2022

No quarto trimestre de 2022, o número de incidentes diminuiu 5% em comparação ao trimestre anterior, mas ainda permaneceu alto: 15% a mais que no mesmo período em 2021. A proporção de ataques em massa continuou a crescer, aumentando 2%. Comumente, os ataques cibernéticos bem-sucedidos resultavam em vazamento de informações confidenciais (51%) e interrupção das atividades principais (36%). Acompanhamos as falhas nas infraestruturas críticas, grandes vazamentos de dados de usuários e de código-fonte de produtos.

Os spywares estão em alta

A proporção de ataques que usam spyware está aumentando: 17% desses ataques foram direcionados contra empresas e instituições e 49% contra usuários; respectivamente 5 p.p. e 3 p.p. a mais do que no último trimestre. Os agentes mal-intencionados estão criando novos malwares e expandindo suas funcionalidades: por exemplo, a nova ferramenta maliciosa Aurora não apenas consegue extrair dados de navegadores ou da área de transferência, mas também diretamente do armazenamento do dispositivo. A distribuição de spyware do tipo de "malware como serviço" permite que até os invasores inexperientes consigam usá-lo: por exemplo, o novo BlueFox stealer, estudado pelos pesquisadores da Positive Technologies, é apresentado no mercado clandestino dessa maneira. Além disso, observamos um aumento nos casos de implantação de códigos de spyware em pacotes Python. Isso pode levar a um aumento no número de ataques na cadeia de fornecimento, (um ciberataque onde is invasores infiltram uma empresa através de comprometimento de software ou provedores de hardware. Por exemplo, os criminosos podem injetar códigos maliciosos no código-fonte do produto ou distribuir atualizações maliciosas para infectar a infraestrutura da empresa alvo) o que leva ao comprometimento das redes de empresas nas TI.

Botnets e RATs

No quarto trimestre, identificamos um aumento na utilização de malwares de controle remoto: a parcela de ataques a empresas e instituições que utilizaram esse tipo de malware cresceu 6 p.p. em relação ao trimestre anterior. Foram descobertas novas botnets: MCCrash, capaz de comprometer sistemas Windows e Linux, e GoTrim, especializada em atacar sites WordPress desprotegidos e escapar das proteções contra robôs. Algumas ameaças antigas também retornaram. Os pesquisadores da Cyble identificaram a botnet SmokeLoader disseminando o novo cryptoclipper Laplas, é um tipo de malware que verifica a área de transferência à procura de um endereço de carteira de criptomoedas e o substitui pelo endereço do invasor. As botnets Emotet também retornaram após um período de inatividade. QakBot foram utilizadas para propagar diversos malwares, incluindo o ransomware Black Basta e os beacons Brute Ratel e Cobalt Strike (uma carga maliciosa usada para obter acesso remoto a sistemas comprometidos, coletar dados ou propagar malwares).

Novos métodos de ransomware e criptografia multiplataforma

Os grupos RansomExx e Qilin possuem versões multiplataforma de seus ransomwares desenvolvidos em Rust, o que os permite atacar sistemas Windows e Linux. Os nvasores progressivamente estão fazendo o uso de criptografia de arquivo intermitente com um determinado intervalo de bytes. Essa abordagem agiliza o processo de criptografia e o torna menos detectável pelas ferramentas de monitoramento devido às poucas operações no arquivo criptografado e semelhança ao arquivo inicial. Depois de um intervalo, wipers disfarçados por ransomware reativaram sua atividade. Esse tipo de malware transforma dados e deixa um recado sobre o resgate. Entretanto, efetuar o pagamento de resgate não acarreta a devolução dos dados, pois na realidade esses são irrecuperáveis.

A relação de ataques de alto perfil continua уь expansão: ocorreu um ataque ransomware contra Guadalupe, país território francês ultramarino. O incidente desabilitou praticamente toda a infraestrutura de TI estatal. O coletivo de ransomware Daixin Team foi capaz de roubar dados sobre cinco milhões de viajantes da AirAsia e criptografar os servidores.

Aumento no volume de ataques cibernéticos contra o setor de seguros

No quarto trimestre, percebemos um aumento no número de ciberataques bem-sucedidos a corretoras de seguros: mais que o dobro em relação ao trimestre anterior. Houve vazamento de informações sobre os clientes em 73% das ocorrências: predominantemente, dados pessoais e, em determinados casos, informações de saúde. Os dados roubados são vendidos no mercado clandestino ou utilizados pelos invasores em ataques subsequentes. A obtenção das informações sobre seguros é extremamente valiosa para cibercriminosos especializados em ransomware, já que, se descobrirem que uma empresa tem seguro cibernético que cobra resgate, esta virará um alvo fácil, pois há uma grande probabilidade que a corretora desse tipo pague resgate.

Ataques contra as empresas de TI e suas consequências transversais em diversos setores

As empresas de TI são alvos extremamente valiosos para os criminosos, uma vez que comprometê-las pode desencadear novos ataques com consequências graves a seus clientes, usuários de produtos e serviços. Por exemplo, ataques na cadeia de fornecimento e ataques que exploram as relações de confiança (em um ataque de relação de confiança, os hackers invadem a infraestrutura de uma empresa terceirizada que tem acesso legítimo aos recursos do alvo principal), e com consequências graves. O número de incidentes que contaram com as empresas de TI aumentou 18% no quarto trimestre. 62% deles envolveram o uso de malware; na maioria, foram ataques de ransomware com o objetivo de roubar informações confidenciais e obter um resgate.

Entre as vítimas encontraram-se fornecedores de software para empresas de vários setores. O caso de invasão à Supeo, um provedor de TI para uma empresa de trens da Dinamarca, fez muito barulho: as atividades dos invasores pararam trens no país todo por várias horas. O software do fornecedor deixou de funcionar corretamente, bloqueando o acesso dos maquinistas a dados essenciais, tais como notificações de manutenção de trilhos e limites de velocidade. Em consequência, as atividades ferroviárias tiveram que ser suspensas.

Os ataques aos usuários através de redes sociais e serviços de mensagens instantâneas são cada vez mais frequentes

No quarto trimestre, a quantidade de ataques a usuários em relação ao número total de ataques aumentou em 5 p.p. se comparar ao trimestre anterior. Este número continua a crescer à medida que ataques contra usuários bem-sucedidos realizados por meio de redes sociais e serviços de mensagens instantâneas tornam-se mais frequentes. No terceiro trimestre de 2022, 18% dos ataques de engenharia social foram direcionados aos usuários das redes sociais, enquanto os serviços de mensagens instantâneas e SMS foram usados em 15% dos ataques. Ao longo do último trimestre de 2022, a atividade dos invasores manteve-se elevada: 19% dos ataques focaram em usuários de redes sociais, e 17% dos ataques de engenharia social foram feitos através de serviços de mensagens e SMS. O volume de credenciais roubadas também está em ascensão: cresceu de 39% no terceiro trimestre para 44% no quarto trimestre.

A maioria dos ataques em redes sociais e serviços de mensagens que foram bem-sucedidos tiveram como objetivo o roubo das credenciais e invasão das contas, que posteriormente poderiam ser usadas para atacar mais usuários. Em um desses ataques, os criminosos incentivaram os usuários que a participar de uma votação online, supostamente para apoiar um familiar ou amigo, em uma competição infantil, porém o link encaminhava para uma página de phishing. No outro ataque, registrado em dezembro, diversos usuários do Telegram receberam mensagens falsas sobre uma suposta assinatura Premium oferecida como presente. Para ativar a assinatura, solicitava-se aos usuários que digitassem um código de autorização, o que resultava no comprometimento da conta e no envio subsequente de e-mails de phishing para os contatos da vítima.

Os criminosos não tem interesse apenas em capturar os detalhes das contas, as informações pessoais e os dados para fazer pagamentos também são um alvo atraente. Em um ataque realizado na Índia, os invasores adotaram uma tática peculiar: monitorar as mensagens de usuários que criticavam a Indian Railway Catering and Tourism Corporation no Twitter e passaram-se por atendentes de suporte ao cliente para coletar as informações pessoais.

Para proteger-se contra os ataques cibernéticos, a primeira e principal recomendação é seguir as diretrizes gerais sobre segurança pessoal e corporativa elaboradas pela Positive Technologies. Levando em conta os tipos de incidentes observados no quarto trimestre de 2022, fortemente recomendamos que ficar atento ao abrir e-mails e mensagens recebidas de serviços de mensagens instantâneas e redes sociais: verifique o remetente e evite clicar em links suspeitos para não se tornar a vítima de engenharia social ou ter seu dispositivo comprometido por malware. Faça o download de aplicativos apenas das fontes de confiança, analise os arquivos de código aberto em busca de módulos maliciosos, utilize as soluções de backup para seus arquivos e não deixe de instalar as atualizações de segurança de forma regular. Além disso, é crucial efetuar as investigações detalhadas de todos os incidentes de grande porte para determinar possíveis pontos de vulnerabilidade e ações exploradas por hackers, garantindo que nenhuma backdoor permaneça aberta. A segurança no perímetro corporativo pode ser reforçada com a adoção de tecnologias de segurança de ponta, incluindo firewalls de aplicativos web (WAF) especialmente desenvolvidos para a proteção de recursos online. Para prevenir a infecção por malware, recomendamos o uso de sandboxes para analisar o comportamento de arquivos em um ambiente virtual e detectar atividades maliciosas.

No quarto trimestre, foram registrados ataques que tiveram variados que atingiram alvos de vários tamanhos: desde empresas pequenas até grandes conglomerados, e em alguns casos, até países inteiros. O principal objetivo dos criminosos era a obtenção de informações confidenciais. Além disso, observamos atividades criminosas que causaram grandes prejuízos financeiros e descontinuidades nas principais operações corporativas e, muitas vezes, atingiram as infraestruturas críticas.

Os 5 principais ataques do quarto trimestre que resultaram em consequências negativas e repercussões mais impactantes

• Um ataque contra o fornecedor de energia elétrica ECG em Gana. Em decorrência do ataque com ransomware, os clientes ficaram impossibilitados de pagar pela eletricidade, o que provocou cortes de energia em massa. Em algumas regiões do país, os moradores ficaram sem energia elétrica por vários dias.
• A empresa de seguros Medibank foi vítima com um ataque de ransomware que interrompeu as operações dos serviços online da empresa e de sua infraestrutura de TI. Após o ataque os invasores divulgaram as informações sobre os clientes, incluindo estado de saúde e diagnósticos.
• Senhas e outras credenciais são alvos extremamente desejados por criminosos. A invasão do cofre de senhas LastPass permitiu aos invasores acessar dados extremamente valiosos, como URLs, endereços IP , credenciais de acesso e senhas criptografadas dos clientes.
• Ataques a desenvolvedores de soluções de autenticação multifator e identificação estão tornando-se cada vez mais frequentes: no quarto trimestre, os hackers realizaram mais um ataque cibernético bem-sucedido contra a Okta, este foi o quarto caso em 2022. Os criminosos conseguiram copiar o código-fonte do produto Workforce Identity Cloud, que é utilizado para identificar usuários e gerenciar permissões de acesso privilegiado na nuvem.
• Um dos maiores pools de mineração de bitcoins, BIT Mining, sofreu um ataque de criminosos cibernéticos. Em consequência, os ativos roubados dos usuários da BTC.com foram avaliados em aproximadamente US$ 700 mil, enquanto o pool perdeu US$ 2,3 milhões de criptomoedas. Posteriormente , descobriu-se que os invasores conseguiram enviar os ativos roubados para o mixer Tornado Cash, e o valor das ações da BIT Mining sofreu uma queda de 20%.

O quarto trimestre foi marcado por vazamentos de grande repercussão que envolveram os dados obtidos ilegalmente através de ataques cibernéticos a empresas e instituições. Em ataques como essas, os criminosos, em sua maioria, buscam roubar dados pessoais (38%) e propriedade intelectual (20%).

Os vazamentos de dados mais significativos durante o quarto trimestre

• O vazamento do código-fonte do UEFI (BIOS) dos processadores Alder Lake da Intel: um total de 5,97 GB de dados, incluindo código-fonte, chaves de criptografia privadas, logs e ferramentas de compilação. Tudo isso foi divulgado publicamente via GitHub. Esse tipo de informação pode ser utilizado para procurar vulnerabilidades, inclusive aquelas que permitem aos invasores inserir um bootkit.
• Um ataque de phishing contra a empresa Dropbox resultou no furto de 130 repositórios que continham informações sobre clientes atuais e antigos, bem como as chaves de API de desenvolvedores da Dropbox.
• O grupo de ransomware Ragnar Locker divulgou as informações roubadas em um ataque contra o Departamento de Polícia Municipal de Zwijndrecht (Bélgica). Houve vazamento das informações sobre multas, relatórios criminais e investigativos e dados pessoais dos funcionários do departamento.
• O grupo NLB tornou público um banco de dados da empresa de viagens Level.Travel, com as informações sobre 400 mil reservas de viagens e dados pessoais de 900 mil pessoas. O banco de dados continha nomes completos, informações de contato, endereços de IP e informações dos passaportes.

65% dos ataques foram direcionados

19% dos ataques tiveram como alvo usuários

A informação sobre as ameaças globais à segurança da informação apresentada nesse relatório é baseada na experiência, investigações e fontes confiáveis da Positive Technologies.

Estimamos que a grande maioria dos ataques cibernéticos não é divulgada devido a riscos à reputação. Por esse motivo, até mesmo empresas especializadas em investigação de incidentes e análise de atividades de hackers não conseguem quantificar o número exato de ameaças. A nossa pesquisa tem como objetivo chamar a atenção de empresas e do público em geral para a importância da segurança da informação, as razões e estratégias centrais de ataques cibernéticos, além de destacar as principais tendências na evolução do cenário de ameaças cibernéticas.

Este relatório considera cada ataque em massa (por exemplo, um e-mail de phishing enviado para vários endereços) como um único incidente. Para mais detalhes sobre os termos utilizados neste relatório, consulte o glossário da Positive Technologies.