RELATÓRIO DE AMEAÇAS CIBERNÉTICAS
RELATÓRIO DE AMEAÇAS CIBERNÉTICAS
Novembro de 2023
Insights obtidos de uma rede global de especialistas, sensores, telemetria e inteligência
UNC4841, um espião ligado à China, compromete a rede global de um concorrente explorando a CVE-2023-2868.
Como CISO, você instrui a sua equipe de SecOps a iniciar imediatamente as correções – e com isso evita um impacto grave sobre os seus sistemas.
Porém, o conselho diretor, ansioso, quer ver você pessoalmente. Eles querem garantias. Eles não entendem de segurança cibernética – e você não pode chegar lá e dizer “vejam só, nós corrigimos 500 vulnerabilidades.”
A narrativa começa com as ameaças cibernéticas. A sua história começa com inteligência. Insights obtidos de um milhão de sensores.
Bem-vindo à edição de novembro de 2023 do Relatório de ameaças cibernéticas da Trellix.
Relatório de ameaças cibernéticas da Trellix
Este relatório, de autoria do Advanced Research Center da Trellix, (1) destaca insights, inteligência e orientações obtidos de múltiplas fontes de dados críticos sobre ameaças à segurança cibernética e (2) desenvolve interpretações razoáveis e racionais de especialistas desses dados para informar e viabilizar as melhores práticas de defesa cibernética. Esta edição concentra-se em dados e insights capturados principalmente entre 1º de abril de 2023 e 30 de setembro de 2023.
Uma parceria crítica
O que está por aí afora? O que está chegando? Como nos adiantar a isso?
Essas perguntas fazem parte de nosso dia a dia. De vocês, CISOs, e suas equipes de SecOps. E dos especialistas do nosso Advanced Research Center, como eu próprio. Assim como você, nós alternamos entre reuniões urgentes na “sala de guerra”, com CEOs e conselhos diretores, e missões intensivas de pesquisa e contra-ataque durante fins de semana inteiros, rastreando quadrilhas de ransomware ou cargas virais maliciosas.
Nossas missões são profundamente interdependentes.
- Você supervisiona a informação, a tecnologia e a segurança cibernética da sua organização. E nós somos os seus olhos e ouvidos na vanguarda dos riscos cibernéticos que você gerencia.
- Temos credenciais semelhantes – como inteligência em nível de segurança nacional, serviços militares ou jurídicos, operações especiais, contraterrorismo e espionagem, além de qualificação em nível sênior em áreas como projeto de arquitetura de redes e administração de sistemas.
Trabalhando independentemente e conjuntamente, nossa equipe e a sua constituem a primeira linha de defesa para, praticamente todas as organizações do mundo.
As consequências dos ataques cibernéticos continuam evoluindo.
A prevenção desses incidentes e impactos começa com inteligência. Compreensão do ambiente das ameaças. Conversão da telemetria bruta em insights decisivos sobre perpetradores de ameaças, vulnerabilidades e ataques.
Nós publicamos o Relatório de ameaças cibernéticas da Trellix para você. Nesta edição do quarto trimestre de 2023,
você encontrará insights sobre as quatro frentes que modelam o ambiente de ameaças: (1) atividade de estados-nações e APTs, (2) a evolução continuada do ransomware, (3) mudanças no comportamento dos perpetradores de ameaças e (4) a ameaça emergente da inteligência artificial generativa.
A inteligência molda o campo de batalha. Na segurança cibernética, ela começa aqui.
Chefe de inteligência sobre ameaças da Trellix
Introdução
Uma recessão geopolítica: guerras, turbulência e instabilidade
Em segurança cibernética, o contexto global é sempre relevante. Guerras e conflitos exacerbam paixões. Relacionamentos frágeis entre nações alimentam desconfiança e delitos. A instabilidade econômica abre oportunidades para que alguns se aproveitem de outros. Uma amostra dos fatores que influenciam nossos dados de ameaças no quarto trimestre de 2023 inclui o seguinte.
- A guerra entre Rússia e Ucrânia e a incerteza de uma Rússia pós-guerra – hackers pró-Rússia continuaram seus ataques à Ucrânia, concentrando-se principalmente em sua infraestrutura crítica, instalações governamentais e centros militares de comando e controle. Ataques de hacktivistas já se expandiram, visando as Nações Unidas, a OTAN e o Ocidente, inclusive com ataques cibernéticos contra infraestrutura crítica e sistemas financeiros nos EUA e na Europa. Prevemos que estes continuarão cada vez mais sofisticados depois da guerra, como reação de uma nação enfraquecida contra seu isolamento.
- China e suas capacidades de roubo de PI e ameaças de espionagem cibernética – A abordagem altamente organizada da China no que se refere ao roubo de propriedade intelectual (PI) amadureceu a ponto de se tornar “o roubo de propriedade intelectual mais sustentado, sofisticado e em escala… sem precedentes na história da humanidade”, segundo Christopher Ray, diretor do FBI. Alguns líderes globais também receiam que a plataforma chinesa TikTok possa ser utilizada para operações de influência e coleta de dados em massa. Enquanto isso, o país continua a acelerar seus ataques cibernéticos contra Taiwan.
- Os estados-pária Irã e Coreia do Norte e a sofisticação de seus ataques cibernéticos – Essas duas nações autocráticas estão determinadas a atacar a democracia mundialmente. Mês passado, Anne Neuberger, vice-conselheira de segurança nacional em tecnologias cibernéticas e emergentes do Conselho de Segurança Nacional, ressaltou que a Coreia do Norte já está realizando experimentos com ataques cibernéticos assistidos por inteligência artificial. Enquanto isso, grupos apoiados pelo governo do Irã visam agressivamente empresas dos setores de defesa, de satélites e farmacêutico.
- A guerra entre Israel e Hamas e o aumento das tensões no Oriente Médio – Embora o conflito armado tenha irrompido no início de outubro, logo após a data-limite de 30 de setembro para coleta de dados e análise da edição atual deste relatório, sua importância para a segurança cibernética exige o devido destaque. A guerra ainda em andamento aumentou consideravelmente as tensões entre apoiadores de cada lado da longa disputa entre Israel e Palestina no Oriente Médio e na Europa, ameaçando espalharem-se para outros países da região.
- Inteligência artificial como arma cibernética – Ao longo dos últimos meses, elementos maliciosos começaram a incorporar inteligência artificial (IA) na mecânica da criação de ataques, identificando sistemas já infectados com cargas virais predatórias, gerando e-mails de mais qualidade, respondendo a perguntas complexas em bots de chat sequestrados, resolvendo problemas e gerando código novo. Conforme as ferramentas de IA generativa tornam-se mais facilmente acessíveis, os criminosos cibernéticos podem lançar ataques com muito mais facilidade e economia – sem conhecimentos técnicos.
- Tensão política, hacktivismo e desinformação – Como prevemos no final de 2022, o hacktivismo político (hackeamento feito por ativistas com motivação política ou social) está aumentando – alimentado em grande parte pela crescente polarização política nos EUA em antecipação à eleição presidencial de 2024, bem como em outros países, como Canadá, Suíça, Brasil e Nova Zelândia. Alguns desses grupos estão adotando ferramentas e táticas cibernéticas para amplificar suas mensagens, propagar desinformação e causar perturbações.
Metodologia: como coletamos e analisamos dados
Os especialistas de nível internacional do Advanced Research Center da Trellix coletam as estatísticas, tendências e insights que compõem este relatório de uma ampla variedade de fontes globais, tanto reservadas quanto abertas. Os dados agregados são fornecidos a nossas plataformas Insights e ATLAS. Por meio do uso de autoaprendizagem, automação e perspicácia humana, a equipe percorre um conjunto intensivo, integrado e iterativo de processos – normalizando os dados, analisando as informações e desenvolvendo insights significativos para líderes de segurança cibernética e equipes de operações de segurança nas linhas de frente da segurança cibernética no mundo todo. Para uma descrição mais detalhada de nossa metodologia, leia o final deste relatório.
Aplicação: como usar estas informações
É imperativo que todo processo e equipe líder do setor compreenda, reconheça e, sempre que possível, mitigue os efeitos do prejulgamento – a propensão natural, internalizada ou invisível de aceitar, rejeitar ou manipular fatos e seus significados. O mesmo preceito aplica-se aos consumidores do conteúdo.
Diferente de um experimento ou teste matemático altamente estruturado e com bases comparativas, este relatório é, por sua própria natureza, uma amostra de conveniência – um tipo de estudo não probabilístico frequentemente utilizado em testes médicos, psicológicos e sociológicos que fazem uso de dados disponíveis e acessíveis.
- Em suma, nossas descobertas baseiam-se no que podemos observar e certamente não incluem evidências de ameaças, ataques ou táticas que evadiram detecção, geração de relatórios e captura de dados.
- Na falta de informações “completas” ou de visibilidade “perfeita”, este é o tipo de estudo mais adequado para o objetivo deste relatório: identificar fontes conhecidas de dados críticos sobre ameaças à segurança cibernética e desenvolver interpretações racionais, especializadas e éticas desses dados que informem e viabilizem as melhores práticas de defesa cibernética.
Como compreender a análise deste relatório
Compreender os insights e dados deste relatório requer uma breve revisão das seguintes diretrizes:
- Um momento no tempo: ninguém tem acesso a todos os logs de todos os sistemas conectados à Internet, nem todos os incidentes de segurança são relatados e nem todas as vítimas são extorquidas e incluídas nos sites de vazamentos. Contudo, rastrear o que podemos resulta em uma compreensão melhor das várias ameaças, enquanto reduz pontos cegos analíticos e investigativos.
- Falsos positivos e falsos negativos: entre as características técnicas de alto desempenho dos sistemas especiais de rastreamento e telemetria para coleta de dados da Trellix estão mecanismos, filtros e táticas que ajudam a combater ou remover resultados falsos positivos e negativos. Essas características ajudam a elevar o nível da análise e a qualidade de nossas descobertas.
- Detecções, e não infecções: quando falamos em telemetria, referimo-nos a detecções, e não a infecções. Uma detecção é registrada quando um arquivo, URL, endereço IP ou outro indicador é detectado por um de nossos produtos e relatado para nós.
- Captura de dados não uniforme: alguns conjuntos de dados exigem uma interpretação cuidadosa. Dados de telecomunicações, por exemplo, incluem telemetria de clientes provedores de serviços de Internet que atuam em vários outros setores e indústrias.
- Atribuição a estados-nações: da mesma forma, determinar a responsabilidade de estados-nações por várias ameaças e ataques cibernéticos pode ser muito difícil, considerando-se a prática comum entre criminosos cibernéticos e hackers patrocinados por estados-nações de se fazerem passar uns pelos outros ou de disfarçar atividades maliciosas como se originassem de uma fonte confiável.
Resumo dos destaques do 4º trimestre de 2023
- Socioeconomia, estados-nações e APTs
- Geopolítica impulsionando atividades de ameaças: com o aumento de conflitos geopolíticos em países como Rússia, Ucrânia, China, Taiwan e Israel, as atividades de hacktivistas e grupos de APT estão se intensificando mundialmente. As atividades de grupos ligados a estados-nações aumentaram 50% em seis meses.
- Países e regiões visados: perpetradores de estados-nações estão cada vez mais recorrendo a espionagem digital, campanhas de desinformação e guerra cibernética. Além de China e EUA, ondas de ataques recentes começaram a visar países como Índia, Turquia e Vietnã.
- A volta dos ataques contra dispositivos de borda: ameaças tradicionais contra dispositivos situados no perímetro de redes estão aumentando novamente, conforme perpetradores de ameaças, inclusive grupos de APT, voltam a essa fronteira. Grandes incidentes incluem ataques recentes envolvendo Ivanti, MOVEit e Barracuda Networks.
- Mudanças sutis no cenário de ransomware
- Famílias menores fazendo movimentos grandes: o ransomware continua sendo o “rei do malware”, mas adversários digitais menores estão se tornando proeminentes – como Agrius, Bl00dy e FusionCore.
- Atividade de ransomware após tendências de APT: Índia, Turquia, Israel e Ucrânia estão sofrendo ataques em grande volume, o que sugere uma possível convergência entre práticas de APT e ransomware.
- Evolução do submundo do crime cibernético
- Colaboração entre perpetradores: os principais perpetradores de ameaças estão começando a trabalhar juntos, impulsionados por objetivos práticos, como compartilhamento ou venda de explorações e vulnerabilidades de dia zero – e política.
- Coordenação e compartilhamento de vulnerabilidades de dia zero: os criminosos cibernéticos estão mudando de tática. Em vez de esconder suas descobertas de vulnerabilidades mais promissoras, eles as estão vendendo no mercado aberto. Por isso a proliferação de explorações de dia zero está mais alta que nunca.
- Linguagens de malware mais novas em evidência: novas linguagens de programação, como Nim, Rust e Golang, oferecem recursos atraentes para criminosos cibernéticos. O malware baseado em Golang está se tornando particularmente popular, principalmente para ransomware (32%), portas dos fundos (26%) e cavalos de Troia (20%).
- O surgimento da IA maliciosa
- Os “script kiddies” estão de volta: ferramentas de IA generativa, como ChatGPT, estão ajudando perpetradores de ameaças grandes e pequenos a superar desafios consideráveis. Com mais eficiência, eles agora podem crescer mais rapidamente e melhorar sua precisão.
- Desenvolvimento de LLMs blackhat: já existem derivados do ChatGPT criados para criminosos cibernéticos. A aceleração e a sofisticação dos ataques de phishing nos últimos anos sugere que os malfeitores já estão aproveitando algumas dessas ferramentas.
Análises, insights e dados do relatório
Estados-nações e ameaças persistentes avançadas (APT)
Perpetradores de estados-nações estão cada vez mais recorrendo a espionagem digital, campanhas de desinformação e guerra cibernética. De fato, com a escalada de hostilidades entre vários entes, como Rússia e Ucrânia, China e Taiwan, Israel e Hamas e muitos outros, a atividade mundial de ameaças, tanto de hacktivistas quanto de grupos de APT, intensificou-se a uma velocidade consideravelmente maior do que em 2022 ou antes. Somente nos últimos seis meses, a atividade de grupos associados a estados-nações aumentou mais de 50%.
Estados-nações e grupos de APT ativos
Com base apenas na telemetria, os estados-nações representados com mais destaque foram China, Rússia e Coreia do Norte. Com base somente em eventos públicos, o estado-nação perpetrador de ameaças de maior destaque foi a Coreia do Norte, com 36 relatos de grupos afiliados, inclusive Lazarus, Kimsuky, APT37 e BlueNoroff. O segundo estado-nação mais representado foi a China, com 33 eventos relatados, muitos dos quais envolvendo o Mustang Panda. Os perpetradores de ameaças ligados à Rússia foram o terceiro dos grupos mais comuns ligados a estados-nações, com 29 eventos relatados envolvendo Gamaredon, APT28, APT29 e outros.
Principais países dos perpetradores de ameaças no segundo e no terceiro trimestres*
* Percentual do total de detecções de APT rastreadas pela telemetria da Trellix e por eventos relatados pelo setor.Principais países dos perpetradores de ameaças por eventos do setor, segundo e terceiro trimestres*
Principais países dos perpetradores de ameaças por detecções de telemetria, segundo e terceiro trimestres*
1.
China
75.46%
2.
Rússia / Россия
9.38%
3.
Coréia do Norte
7.37%
4.
Irã
4.28%
5.
Vietnã
1.17%
Os grupos de APT mais frequentemente identificados em eventos relatados no segundo e no terceiro trimestres incluíram os grupos Mustang Panda (patrocinado pela China), Lazarus (apoiado pela Coreia do Norte) e Gamaredon (ligado à Rússia). Isso não significa necessariamente que esses grupos foram os perpetradores de ameaças mais ativos, como sugerem dados de telemetria globais, mas indica violações e ataques de grande impacto.
Como muitos perpetradores de APT apoiados pela China, o Mustang Panda é impulsionado por coleta de inteligência estratégica em outras regiões. Portanto, o grupo adota uma abordagem mais metódica, prioriza o uso de malware e ferramentas personalizados e tem um foco consistente em determinados setores e alvos. Como resultado, o Mustang Panda é comparativamente mais propenso a ser identificado e relatado.
Por outro lado, o Lazarus, como muitos grupos de APT associados à Coreia do Norte, está altamente representando em ambos os lados. Isso se deve ao fato de que o grupo (provavelmente por trás da campanha de espionagem cibernética Operation Dream Job) é mais motivado por objetivos financeiros, faz uso de uma variedade maior de ferramentas e visa um conjunto mais amplo de organizações, além de suas prioridades estratégicas – como atacar infraestruturas militares, de empresas do setor de defesa aos principais engenheiros nucleares, nos Estados Unidos, Israel, Austrália e Rússia.
Principais grupos perpetradores de ameaças por detecções de telemetria, segundo e terceiro trimestres*
1.
APT40
42,28%
2.
MustangPanda
15,93%
3.
Lazarus
5.12%
4.
APT1O
2,82%
5.
Gamaredon Group
2,66%
Principais grupos perpetradores de ameaças por eventos do setor, segundo e terceiro trimestres*
Países e regiões visados
Uma comparação de telemetria global com relatos do setor ajuda a ressaltar tendências que refletem alguns dos conflitos militares e tensões socioeconômicas do mundo em 2023. Grupos de APT apoiados pela Rússia continuam a executar ataques cibernéticos coordenados contra agências e organizações ucranianas. Ao mesmo tempo, enquanto a China eleva tensões no Estreito de Taiwan, perpetradores ligados à China atacam Taiwan com ataques cibernéticos. De maneira semelhante, grupos de APT norte-coreanos estão visando a Coreia do Sul.
Dados de ameaças envolvendo outros países também refletem eventos globais. Embora sua ligação com conflitos geopolíticos ou desdobramentos maiores não tenha sido demonstrada, parece que grandes perpetradores estabelecidos estão mudando o foco ou expandindo suas atividades para visar regiões específicas.
- A guerra entre Israel e Hamas: embora as hostilidades não tenham começado antes de outubro e, portanto, não estejam refletidas nos dados que embasam este relatório, detecções e relatos do setor nessa região aumentaram perceptivelmente nos meses anteriores. Apesar de não estar claro se essa atividade foi precursora dos incidentes seguintes, podemos afirmar que as atividades de grupos de APT do Paquistão, Irã e Arábia Saudita certamente ajudaram a desestabilizar ainda mais a região.
- O eixo Índia-Paquistão: por exemplo, o APT36, grupo de ameaças ligado ao Paquistão, tem um longo histórico de visar órgãos governamentais e de defesa da Índia. Nos últimos dois trimestres, porém, a atividade do grupo reflete um foco crescente no setor de educação, no que pode ser uma tentativa estratégica de monitorar e, talvez, comprometer os avanços da Índia em pesquisa e tecnologia. Vários outros grupos de APT estão visando a Índia, talvez motivados pelo fato de que o país presidiu o G20 a partir de dezembro de 2022 e hospedou o encontro do G20 em setembro de 2023.
- Turquia e Oriente Médio: a atividade de APT também aumentou com ataques à Turquia, outro membro do G20. O foco do GoldenJackal parece estar associado aos interesses crescentes do grupo de atacar países do Oriente Médio. Além disso, o SideWinder – que costumava se concentrar principalmente no Paquistão e no Sri Lanka – desviou sua atenção para a Turquia, embora as razões não estejam claras.
Acompanharemos de perto esses novos padrões nos próximos meses.
Principais países visados, segundo e terceiro trimestres*
* Percentual do total de detecções de ransomware rastreadas pela telemetria da Trellix e por eventos relatados pelo setor.Evolução do cenário de ransomware
O ransomware continua a ser o tipo de ataque cibernético mais comum mundialmente. Detecções globais e incidentes relatados pelo setor, particularmente no segundo trimestre, refletem variações incomuns nas famílias de ransomware, bem como nos países e setores visados. Dados do primeiro trimestre são fornecidos para contextualização.
Detecções de ransomware em 2023*
* Número total de detecções de ransomware rastreadas pela telemetria da Trellix.Eventos de ransomware em 2023*
* Número total de incidentes de ransomware rastreados por eventos relatados pelo setor.Estados-nações e grupos de APT ativos
Análises das atividades do segundo e do terceiro trimestres indicam que os “suspeitos habituais” estão no topo da lista. O LockBit foi detectado com muito mais frequência (54%) do que outras variantes, seguido por BlackCat (22%) e Cuba (20%). Contudo, os eventos mais comuns relatados pelo setor foram BlackCat e Trigona (ambos com 6%).
Principais variantes de ransomware, segundo e terceiro trimestres*
* Percentual do total de incidentes de ransomware rastreados pela telemetria da Trellix e por eventos relatados pelo setor.A grande manchete: Cl0p e MOVEit
O maior incidente de ransomware durante esse período foi o ataque ao MOVEit pelo Cl0P, uma exploração de vazamento de dados que afetou mais de 2.500 organizações. O Cl0P aproveitou uma CVE específica contra o software gerenciado de transferência de arquivos MOVEit que permitiu vazar dados em grande escala.
Apesar da sofisticação do ataque, o Cl0P pareceu ter dificuldades no manuseio do volume de dados e na comunicação com as vítimas. Esse fator, bem como os recursos e o tempo investidos pelo Cl0p para obter o mínimo de retorno, colocam em questão o objetivo dos atacantes.
No início do ano, perpetradores de ameaças que se destacaram em 2022, como LockBit e Royal, continuaram dominando o cenário.
Porém, no segundo trimestre, perpetradores menos conhecidos despontaram na cena. BlackCat foi a variante mais frequentemente detectada (51%), seguida pelas famílias Black Basta, Trigona, Rorschach e Cyclance. Rorschach (6%) e Black Basta (4%) foram também as variantes mais frequentemente relatadas. Trigona (9%) também foi, por algum tempo, até que um grupo conhecido como Ukrainian Cyber Alliance aparentemente apagou os servidores do Trigon.
No terceiro trimestre, observamos uma “volta ao que era antes”, quando os principais perpetradores voltaram a predominar, tanto na telemetria global quanto em eventos do setor. Os mais comuns foram LockBit (60% das detecções e 9% dos relatos), BlackCat (22% das detecções e 9% dos relatos) e Cuba (19% das detecções e 6% dos relatos).
Elementos menores: eles estão roubando a cena?
Grupos e perpetradores de ransomware estão rapidamente aproveitando relacionamentos com afiliados, colaboração maior e comunicações mais vigorosas no submundo do crime cibernético. Agora eles podem executar ataques sofisticados e em grande escala muito mais facilmente do que no passado.
Convergência?
Uma nova tendência a acompanhar
Os países com mais atividade de ransomware apresentam uma correlação preocupantemente alta com as tendências de APT em estados-nações.
Pode ser mera coincidência.
Ou pode ser um indício preliminar de que os objetivos, alvos e métodos de ataque dos perpetradores de ransomware e grupos de APT começam a convergir.
Países e regiões visados
Geograficamente, observamos uma atividade interessante no segundo e no terceiro trimestres. A Índia representou a grande maioria (77%) das detecções de ransomware e teve um percentual elevado entre os eventos relatados no setor (7%). Os dois países seguintes
com o maior número de detecções e eventos foram os Estados Unidos e a Turquia. Israel, Ucrânia e Rússia também apresentaram percentuais altos de atividade de ransomware nesse período.
Dispersão geográfica do ransomware, segundo e terceiro trimestres*
* Percentual do total de incidentes de ransomware rastreados pela telemetria da Trellix e por eventos relatados pelo setor.Setores afetados por ransomware, segundo e terceiro trimestres*
* Número total de incidentes de ransomware rastreados pela telemetria da Trellix e por eventos relatados pelo setor.Mudanças comportamentais dos perpetradores de ameaças
Sobre “As cinco famílias”
Uma nova colaboração muito proeminente — uma rede estendida referida como “As cinco famílias” — é um excelente exemplo de perpetradores de ameaças unindo forças para aumentar a velocidade, a eficiência operacional e o impacto de seus ataques cibernéticos.
Essa coalizão não muito rigidamente organizada de mais de 2.000 membros inclui o grupo de ransomware Stormous, bem como o grupo do fórum clandestino Blackforums.
Colaboração entre perpetradores
Na segunda metade de 2023, surgiu uma tendência preocupante — que já vínhamos prevendo há algum tempo. Os perpetradores de ameaças estão começando a colaborar entre si. Esse novo comportamento é impulsionado por objetivos tanto práticos, como compartilhamento ou venda de vulnerabilidades de dia zero e explorações, quanto políticos. Essas colaborações assumem muitas formas, dependendo dos interesses em comum, motivações e afiliações políticas dos grupos.
Ao aproveitar habilidades que se complementam entre si, esses grupos estão maximizando suas vantagens. Em vez de se concentrarem somente em ataques com motivação política envolvendo negação de serviço distribuída (DDoS), adulteração de sites e vazamentos de dados, eles mudaram o foco para atividades de ransomware, incorporando um esquema de extorsão dupla.
Outras colaborações são motivadas por objetivos políticos. Observamos um aumento marcante no número de coletivos hacktivistas operando no contexto digital do conflito entre Rússia e Ucrânia. Perpetradores como os seguintes estão unindo seus recursos e forças, especialmente os que são pró-Rússia.
- Darknet Parliament: esse grupo está visando o sistema bancário do mundo ocidental lançando ataques contra a infraestrutura de pagamentos SWIFT.
- Net Worker Alliance: esse coletivo é mais um conjunto de grupos pró-Rússia que formou uma aliança, motivada por seus adversários em comum, países da OTAN e o Ocidente em geral.
De maneira semelhante, uma colaboração maior entre perpetradores de ameaças está surgindo na periferia do conflito entre Israel e Hamas. Imediatamente após a guerra irromper em outubro, nossa equipe observou um aumento massivo em atividade cibernética. Desde o início do conflito, identificamos quase 80 grupos pró-Palestina visando organizações israelenses com ataques cibernéticos e mais de duas dúzias de perpetradores pró-Israel envolvidos em atividades opostas. Entre as centenas de ataques envolvendo esses antagonistas até agora, incidentes notáveis incluem o comprometimento dos dados pessoais de soldados das Forças de Defesa de Israel e sua venda na Dark Web, o vazamento de credenciais roubadas associadas a vários órgãos governamentais essenciais palestinos e ataques cibernéticos e comprometimentos que ajudaram ambos os lados a visar a infraestrutura crítica do outro.
Proliferação de ataques de dia zero
Durante a segunda metade de 2023, continuamos a observar perpetradores de ameaças clandestinos promovendo ativamente explorações de dia zero que visam vulnerabilidades em sistemas Windows e Linux. Algumas das vulnerabilidades dignas de nota discutidas ativamente na Dark Web são as seguintes:
- Ampliação de privilégios locais (LPE): fóruns clandestinos contêm vários anúncios de vulnerabilidades LPE de dia zero para sistemas operacionais Windows.
- Função e impacto: permitem que os perpetradores de ameaças ampliem privilégios de usuário para SYSTEM ou administradores de domínio. Costumam vir acompanhados de recursos como desvio de controle de conta de usuário (UAC) e a capacidade de desativar software antivírus.
- Exemplos de explorações vendidas: incluem explorações de dia zero para CVE-2023-36874, CVE-2023-29336 e CVE-2023-36874, entre outras.
- Execução remota de código (RCE): observamos na Dark Web a venda de explorações RCE de dia zero que afetam vários aplicativos de software e sistemas.
- Função e impacto: constatou-se que essas vulnerabilidades afetam produtos da Citrix, o aplicativo Discord, o software Veeam e appliances de rede de fornecedores como Draytek, TP-Link e SonicWall.
- Exemplos de explorações vendidas: uma vulnerabilidade RCE de dia zero particularmente notável foi associada ao cliente qTox, amplamente adotado por perpetradores de ameaças para mensagens instantâneas criptografadas. A descoberta dessa vulnerabilidade causou preocupação na comunidade do crime cibernético porque incorreu no risco de exposição das identidades reais dos perpetradores de ameaças. Como resultado, muitos descontinuaram completamente o uso da plataforma de mensagens TOX ou migraram para clientes TOX alternativos.
Vulnerabilidades que permitem RCE e LPE estão entre as mais atraentes para perpetradores de ameaças explorarem. Embora a venda de tais explorações não seja uma prática nova – e vários perpetradores especializados tenham projetado todo o seu modelo de negócios ao redor de seu desenvolvimento e venda – o predomínio dessas explorações de dia zero no submundo clandestino aumentou consideravelmente.
Com efeito, as vulnerabilidades de dia zero descobertas atualmente são rapidamente distribuídas pela rede clandestina de perpetradores de ameaças e acabam rapidamente nas mãos dos grupos mais sofisticados e perigosos. Vulnerabilidades de dia zero são uma ameaça mais urgente do que nunca, com os principais perpetradores de ameaças prontos e à espera da próxima grande vulnerabilidade para explorar (por exemplo, o próximo Log4J, MOVEit ou BlueKeep) para causar danos imensos e oportunidades de lucro financeiro.
Malware poliglota
Nos últimos anos, houve um aumento marcante no uso de novas linguagens de programação, como Golang (ou Go, como é conhecida formalmente), Nim e Rust, para o desenvolvimento de software malicioso. Embora o volume ainda seja baixo em comparação com linguagens mais antigas, como Python ou C++, os perpetradores de ameaças estão claramente adotando essa nova capacidade.
Essas linguagens são atraentes para os criminosos cibernéticos por vários motivos. O foco da Nim em desempenho e expressividade torna essa linguagem útil na criação de malware intrincado. Os recursos de gerenciamento de memória da Rust são atraentes para grupos de ransomware preocupados com a eficiência criptográfica de suas amostras. A simplicidade e as capacidades de execução simultânea da Go fazem dela uma favorita para a criação de malware leve e rápido. Em 2023, observamos que o malware baseado em Golang está cada vez mais popular entre malfeitores – e identificamos vários padrões emergentes que estaremos acompanhando de perto nos próximos meses.
Percentual do malware golang
No início, os criminosos cibernéticos utilizavam a Golang principalmente para criar exemplares de malware para roubo de informações que ajudavam a extrair dados confidenciais das vítimas, uma prática que atualmente representa apenas 3,66% das detecções. Este ano, os criminosos cibernéticos que utilizam Golang como ransomware representam quase um terço (32%) das detecções. O fato de que autores de malware utilizaram Golang para criar ransomware nessa escala é uma mudança preocupante em termos de complexidade e maturidade. Portas dos fundos e cavalos de Troia predominam entre exemplares feitos com Golang, representando aproximadamente 25% e 20%, respectivamente. Tais tipos de malware tendem a ser distribuídos com o uso de software falso para infectar qualquer usuário que faça o download.
Particularmente notáveis, porém, são incidentes nos quais perpetradores de APT desenvolveram malware utilizando Golang entre seus métodos e táticas. Por exemplo, no início deste ano, pesquisadores de segurança revelaram um novo ataque contra a Ucrânia pelo Sandworm. O apagador SwiftSlicer desse grupo de APT foi desenvolvido com o uso de Golang. Vários outros incidentes foram observados, como o grupo de APT28, patrocinado pelo governo russo, distribuindo uma versão baseada em Go de seu malware Zebrocy, e o grupo de APT Mustang Panda, ligado à China, distribuindo um novo carregador baseado em Go em vários ataques recentes. Essas observações ressaltam como os criminosos cibernéticos estão se adaptando ao cenário de ameaças utilizando novas tecnologias.
Dispositivos de borda
Há uma mudança significativa e um tanto secreta em andamento no cenário de ameaças, centrada nos frequentemente negligenciados dispositivos de borda. Embora a superfície exposta a ataques esteja certamente aumentando devido ao número e à diversidade de dispositivos conectados em empresas, os dispositivos de borda, como roteadores e pontos de acesso – não importando em qual setor operem – estão se tornando a nova fronteira para perpetradores de ameaças, inclusive grupos de APT.
Detecções de malware atacando esses tipos de dispositivos de borda continuam a aumentar em todos os fornecedores de dispositivos de ponto de acesso. Os perpetradores de ameaças aproveitam vulnerabilidades nesses dispositivos para várias finalidades – como estabelecer uma presença que permita uma investigação da rede, estabelecer shells de Web ou portas dos fundos na rede, ampliar privilégios, utilizar os dispositivos em redes de bots de DDoS e até mesmo realizar espionagem cibernética estratégica para estados-nações.
O que diferencia as ameaças a dispositivos de borda é sua sutileza. A questão não são as vulnerabilidades de IoT facilmente previstas, mas os desafios menos óbvios representados pelos próprios dispositivos. Os dispositivos de borda têm suas complexidades peculiares. Porém, eles não podem detectar intrusões. Ao contrário de componentes de rede tradicionais, eles não podem ser simplesmente conectados a um outro IDS ou IPS. As portas do seu mundo digital são, intencionalmente, a primeira e a última linha de defesa. Isso faz com que sejam tanto um alvo quanto um ponto cego. As táticas em evolução dos perpetradores de ameaças e a variedade de arquiteturas de dispositivos de borda constituem desafios consideráveis.
Durante 2023, encontramos vários incidentes nos quais APTs e famílias de ransomware sofisticadas utilizaram vulnerabilidades de dispositivos de borda em ataques significativos:
- Ivanti Endpoint Manager Mobile
Tanto CVE-2023-35081 quanto CVE-2023-35078 foram falhas no Ivanti Endpoint Manager Mobile. A primeira foi uma vulnerabilidade de travessia de caminho, enquanto a segunda foi uma vulnerabilidade de desvio de autenticação. Embora já tenham sido corrigidas, elas foram exploradas na Internet em julho de 2023 por um conjunto de ataques contra a Noruega e seu setor governamental. A identidade específica do perpetrador de ameaças ainda não é conhecida, mas com base nos alvos, muitos especialistas, inclusive nossas equipes, suspeitam que seja uma APT. - Barracuda Email Security Gateway
CVE-2023-2868 foi uma vulnerabilidade de dia zero de injeção remota de comando no Barracuda Email Security Gateway. Essa falha foi explorada por vários elementos de malware, remontando a outubro de 2022, até ser resolvida por meio da correção BNSF-36456 em maio de 2023. UNC4841, um praticante de espionagem vinculado à República Popular da China, foi observado aproveitando extensivamente essa exploração para atacar organizações educacionais, governamentais e de pesquisa na China, Hong Kong e Taiwan. - Progress MOVEit Transfer
CVE-2023-34362 foi uma vulnerabilidade de injeção de SQL encontrada no aplicativo Web MOVEit Transfer. Essa vulnerabilidade foi explorada pela família de ransomware Cl0p em maio e junho de 2023. O grupo visou os setores de finanças, educação, energia, saúde, tecnologia e governamental em países como Alemanha, Bélgica, Canadá, Estados Unidos, França, Luxemburgo, Reino Unido e Suíça. Contudo, as ações do grupo após o vazamento de dados indicam que seu principal objetivo provavelmente estava mais alinhado com uma atividade de APT do que com um pedido de resgate.
A ameaça da IA generativa
Vantagens para os criminosos cibernéticos
Com o avanço e a evolução da tecnologia de inteligência artificial (IA) e dos novos grandes modelos de linguagem (LLMs), vimos novas soluções e aplicativos aproveitando essas inovações na segurança cibernética. Porém, ainda que esses LLMs apresentem um potencial tecnológico extraordinário em aplicações benignas, eles também podem ser utilizados para fins malignos e isso os torna suscetíveis a exploração maliciosa por perpetradores de ameaças. As principais aplicações de IA generativa, como GPT-3.5, GPT-4, Claude e PaLM2 conseguiram capacidades inigualáveis na geração de texto coerente, resposta a perguntas intrincadas, resolução de problemas e codificação, entre outras tarefas de linguagem natural.
Nossa equipe, porém, tem preocupações de segurança significativas e razoáveis sobre como criminosos cibernéticos podem fazer mau uso delas em um ataque em grande escala. Ao contrário dos sistemas de IA menos sofisticados de outrora, as aplicações e IA atuais constituem uma ferramenta potente e econômica para hackers, eliminando a necessidade de amplas qualificações, tempo e recursos. Essas aplicações de IA são capazes de mitigar desafios consideráveis encontrados pelos criminosos cibernéticos – tanto elementos menores que procuram aumentar a escala de suas atividades quanto grupos maiores em busca de melhorar sua precisão ou eficiência. Seguem alguns exemplos comuns em ataques de phishing:
- Pré-requisitos de proficiência – Criminosos cibernéticos com conhecimentos limitados e habilidades técnicas modestas podem utilizar ferramentas de IA com proficiência para criar malware para seus ataques. Essas aplicações permitem que os atacantes dediquem sua atenção à elaboração de estratégias avançadas e à execução, oferecendo uma abordagem mais simplificada que aumenta o impacto de suas atividades maliciosas como um todo.
- Qualidade em quantidade – A criação de e-mails de phishing personalizados é uma tarefa trabalhosa – especialmente para uso em spear phishing. No entanto, o uso de IA generativa para essa finalidade produz e-mails que imitam a composição humana exigindo o mínimo de envolvimento do atacante. Isso permite que os atacantes gerem volumes consideráveis de e-mails de phishing convincentes, com um alto grau de precisão ortográfica, em breves períodos de tempo.
- Carga de trabalho operacional – Essas ferramentas gerenciam com competência volumes consideráveis de dados não estruturados durante o estágio inicial de coleta de dados, além de operar continuamente. Elas podem reduzir significativamente o dispêndio por usuário em um ataque, tornando financeiramente viável que os criminosos cibernéticos ampliem seu público-alvo. Conforme o custo dos recursos cognitivos cai, esse dispêndio se torna ainda mais trivial.
- Engenharia social automatizada – Os criminosos cibernéticos estão recorrendo cada vez mais à tecnologia para automatizar a engenharia social. Bots são utilizados para coletar dados e induzir as vítimas a compartilhar informações confidenciais, como OTPs. Essa abordagem reduz a necessidade de envolvimento humano extensivo e minimiza vestígios pós-ataque. Consequentemente, surgiram mercados clandestinos oferecendo ferramentas de engenharia social automatizadas, inclusive bots de OTP/SMS e “web crawlers” baseados em LLM.
As fraudes de engenharia social atualmente são mais propensas a envolver vozes geradas por IA
Como estas agora imitam muito bem os padrões e nuances da fala humana, distinguir vozes reais de falsas está se tornando mais difícil.
As vozes geradas por IA também podem ser programadas para falar em vários idiomas, permitindo que os golpistas visem vítimas de várias regiões geográficas e bases linguísticas — automatizando e amplificando o alcance e a eficácia de suas atividades fraudulentas.
LLMs blackhat à solta
A disponibilidade de software gratuito e de código aberto é o que originalmente levou à ascensão dos “script kiddies”, indivíduos com pouco ou nenhum conhecimento técnico que utilizam scripts ou ferramentas automatizadas já existentes para lançar ataques contra redes ou sistemas de computadores. Embora sejam às vezes menosprezados como amadores desqualificados ou aspirantes a blackhat, a disponibilidade crescente de ferramentas avançadas de IA generativa e seu potencial para uso malicioso em malware significa que praticamente qualquer perpetrador de ameaças pode constituir uma ameaça significativa e crescente para o mercado.
Criminosos cibernéticos podem aproveitar ferramentas de LLM para aprimorar os principais estágios de uma campanha de phishing bem-sucedida coletando informações de base, extraindo dados para elaborar conteúdos adequados e gerando e-mails de phishing em grande escala a um custo marginal baixo. Embora não existam ainda muitas provas conclusivas de que isso já está começando a acontecer com LLMs maliciosos utilizados para ataques na Internet, certas tendências de atividade sugerem que é uma possibilidade real. A velocidade e a escala nas quais os ataques de phishing estão crescendo, com centenas de milhões de novos ataques a cada trimestre, indica que os atacantes estão utilizando ferramentas de LLM para auxiliá-los em suas atividades.
Contudo, o uso de IA generativa como arma é apenas o começo. Ferramentas mais avançadas estão surgindo, utilizando IA generativa para enganar a segurança de endpoint, criando malware que contorna a detecção de assinaturas, e constituindo uma ameaça estratégica persistente para a segurança cibernética. Aplicações futuras de IA generativa maliciosa proporcionarão uma evasão de defesas abrangente, anonimato quase total e dificuldade de atribuição, desafiando as equipes de segurança no rastreamento dos ataques. Isso estenderá os tempos de permanência, propiciando ataques no estilo de APT, sub-reptícios e graduais. Inevitavelmente, a IA generativa irá democratizar essas capacidades para todos os atacantes, tornando essenciais a interpretação de comportamentos, a detecção de anomalias e o monitoramento abrangente de endpoints.
Posfácio
Insights e inteligência sobre ameaças – da Trellix: a história começa aqui
Nós compartilhamos nossa inteligência sobre ameaças cibernéticas para oferecer a você uma plataforma sólida, baseada em fatos e que sirva de base para algumas das decisões mais importantes que você tomará no ano vindouro. Nosso objetivo é ajudá-lo a melhorar consideravelmente suas capacidades de defesa cibernética e resposta em 2024 e no futuro – não importa como você queira aproveitar as informações deste relatório.
Aplicação: como usar estas informações
- Planejamento estratégico: utilize-as para informar e instruir o seu CEO e o conselho diretor sobre a escalada de complexidade, letalidade e anonimato das ameaças cibernéticas nesse ano. A Trellix apoia muitos CISOs e outros líderes de segurança no desenvolvimento de casos de uso adaptados às suas organizações.
- Validação financeira: compartilhe-as como uma argumentação independente e objetiva para projetos de defesa cibernética e gastos incorridos durante 2023.
- Racionalização de orçamentos: incorpore-as como justificativa para atualização das suas capacidades existentes de detecção de ameaças e resposta a incidentes com tecnologias melhores.
- Suporte operacional: ser compatível com: faça com que sua equipe de SecOps leia isto como um recurso essencial e também como uma perspectiva sobre o contexto mais amplo e estratégico de seu trabalho.
Cada uma dessas vias de aplicação começa com a inteligência de segurança cibernética. A inteligência ajuda você a modelar o campo de batalha. Ela ajuda a veicular a “história” para o seu CEO e o conselho diretor. O que você está fazendo e o porquê. O que você precisa fazer e o quanto isso custa. A importância do apoio deles à sua agenda.
Essa história começa aqui.
Metodologia
Coleta: os especialistas experientes e de nível internacional da Trellix e do Advanced Research Center coletam as estatísticas, tendências e insights que compõem este relatório de uma ampla variedade de fontes globais.
- Fontes reservadas: em alguns casos, a telemetria é gerada pelas soluções de segurança da Trellix sobre redes de segurança cibernética de clientes e estruturas de defesa distribuídas mundo afora, em redes de setores tanto públicos quanto privados, inclusive os que fornecem serviços de dados, infraestrutura e tecnologia. Esses sistemas, que se contam aos milhões, geram dados de um bilhão de sensores.
- Fontes abertas: em outros casos, a Trellix aproveita uma combinação de ferramentas patenteadas, próprias e de código-aberto para garimpar sites, logs e repositórios de dados na Internet, bem como na Dark Web, como os “sites de vazamentos” nos quais elementos maliciosos publicam informações sobre ou pertencentes às suas vítimas de ransomware.
Normalização: os dados agregados são fornecidos a nossas plataformas Insights e ATLAS. Por meio do uso de autoaprendizagem, automação e perspicácia humana, a equipe percorre um conjunto intensivo, integrado e iterativo de processos – normalizando os dados, enriquecendo resultados, removendo informações pessoais e identificando correlações entre métodos de ataque, agentes, setores, regiões, estratégias e resultados.
Análise: em seguida, a Trellix analisa esse amplo reservatório de informações, com referência a (1) sua extensiva base de inteligência sobre ameaças, (2) relatórios de fontes altamente reputadas e certificadas do setor de segurança cibernética e (3) experiência e insights de analistas de segurança cibernética, investigadores, especialistas em engenharia reversa, pesquisadores forenses e especialistas em vulnerabilidades da Trellix.
Interpretação: finalmente, a equipe da Trellix extrai, examina e valida insights significativos que podem ajudar equipes de operações de segurança e líderes de segurança cibernética a (1) compreender as tendências mais recentes do ambiente de ameaças cibernéticas e (2) a utilizar essa perspectiva para melhorar sua capacidade de antever, prevenir e defender suas organizações contra ataques cibernéticos no futuro.
Recursos
Arquivos dos relatórios de ameaças
Trellix Advanced Research Center Discovers a New Privilege Escalation Bug Class on macOS and iOS
do Trellix Advanced Research Center
Sobre o Trellix Advanced Research Center
Como proposta mais abrangente do setor de segurança cibernética, o Trellix Advanced Research Center está na vanguarda dos agentes, tendências e métodos emergentes de todo o cenário de ameaças global, atuando como principal parceiro de CISOs, líderes seniores de segurança e suas equipes de operações de segurança no mundo todo. O Trellix Advanced Research Center oferece inteligência e conteúdo de ponta para analistas de segurança enquanto alimenta nossa plataforma de XDR. Além disso, o grupo Threat Intelligence do Advanced Research Center da Trellix oferece produtos e serviços de inteligência para clientes em todo o mundo.
Sobre a Trellix
A Trellix é uma empresa global que está redefinindo o futuro da segurança cibernética e do trabalho com paixão. A plataforma aberta e nativa de detecção e resposta estendida (eXtended Detection and Response, XDR) ajuda as organizações confrontadas pelas ameaças mais avançadas da atualidade a ter confiança na proteção e na resiliência de suas operações. A Trellix, juntamente com seu amplo ecossistema de parceiros, acelerou a inovação tecnológica através de autoaprendizagem e automação para capacitar mais de 40.000 clientes corporativos e governamentais com uma segurança viva.
Inscreva-se para receber informações sobre ameaças
Este documento e as informações nele contidas descrevem a pesquisa de segurança de computadores apenas para fins educativos e para a conveniência dos clientes da Trellix. A Trellix realiza pesquisas em conformidade com sua política razoável de divulgação de vulnerabilidades | Trellix. Qualquer tentativa de recriar parte de ou todas as atividades descritas se dará unicamente sob o risco do usuário, sem qualquer responsabilidade da Trellix e de suas afiliadas.
Trellix é marca comercial ou registrada da Musarubra US LLC ou de suas empresas associadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros.