Técnicas avançadas de crime cibernético significarão ataques de ransomware mais destrutivos e riscos para as cadeias de abastecimento

 

A Fortinet, empresa mundial de soluções de segurança cibernética amplas, integradas e automatizadas, divulgou as previsões da equipe global de inteligência e investigação de ameaças do FortiGuard Labs sobre o cenário de ameaças cibernéticas para 2022 e além.

Os adversários cibernéticos estão evoluindo e expandindo seus métodos de ataque para atingir novas áreas de exploração que abrangem toda a superfície de ataque, especialmente à medida que o trabalho de qualquer lugar continua. Eles procuram maximizar as oportunidades desde a borda habilitada para 5G até a rede principal, doméstica e até mesmo via satélite no espaço.

O desafio para os defensores no futuro é muito mais do que o número crescente de ataques ou a evolução das técnicas dos cibercriminosos

Para Derek Manky, chefe de Insights de Segurança e Alianças Globais contra Ameaças no FortiGuard Labs da Fortinet, os cibercriminosos estão evoluindo e cada vez mais se parecendo a grupos de ameaças avançadas persistentes, equipados para zero-day e capazes de expandir suas técnicas conforme necessário para atingir seus objetivos.

“Veremos ataques que se estendem além da rede, incluindo no espaço, já que os atacantes se aproveitam de um perímetro fragmentado, equipamentos e ferramentas isolados, bem como uma superfície de ataque bastante expandida. Essas ameaças deixarão as equipes de TI sobrecarregadas, lutando para cobrir todos os caminhos possíveis. Para combater essas ameaças em evolução, as organizações precisam adotar uma plataforma de segurança baseada em uma arquitetura de malha de segurança cibernética”, diz.

Tendências

Os ataques são frequentemente discutidos em termos de ameaças do lado esquerdo ou direito quando vistos através de uma cadeia de ataque, como a estrutura MITRE ATT&CK. No lado esquerdo da cadeia de ataque estão os esforços feitos antes do ataque, que incluem planejamento, desenvolvimento e estratégias de armamento. À direita está a fase de execução dos ataques.

O FortiGuard Labs prevê que os cibercriminosos investirão mais tempo e esforço no reconhecimento e descoberta de recursos de zero-day para explorar novas tecnologias e garantir ataques mais bem-sucedidos. Infelizmente, também haverá um aumento na velocidade com que novos ataques podem ser lançados, do lado direito, devido à expansão do mercado de “Crime-as-a-Service”.

O ransomware será mais destrutivo:

Continuará a expansão do crimeware e o ransomware continuará a ser um foco de atenção no futuro. Os atacantes de ransomware já estão aumentando o impacto, combinando ransomware com DDoS, na esperança de sobrecarregar as equipes de TI para que não possam tomar ações para mitigar os danos de um ataque. Se for adicionada a “bomba-relógio” do malware Wiper, que pode destruir não apenas dados, mas também sistemas e hardware, cria-se uma urgência adicional para que as empresas paguem o resgate rapidamente.

O malware Wiper já fez um retorno aparente, visando as Olimpíadas de Tóquio, por exemplo. Dado o nível de convergência observado entre os métodos de ataque dos cibercriminosos e as Ameaças Persistentes Avançadas (APT), é apenas uma questão de tempo até que os kits de ferramentas de ransomware se juntem a recursos destrutivos, como o malware Wiper. Isso pode ser uma preocupação para ambientes de borda emergentes, infraestruturas críticas e cadeias de suprimentos.

Os cibercriminosos usam IA para dominar deepfakes:

A Inteligência Artificial (IA) já é usada defensivamente de várias maneiras, como na detecção de comportamento incomum que pode indicar um ataque, normalmente de botnets. Os cibercriminosos também estão aproveitando a IA para frustrar os complicados algoritmos usados para detectar suas atividades anormais. No futuro, isso vai evoluir com o aumento da preocupação com as deepfakes, porque a IA será utilizada para imitar as atividades humanas e aprimorar os ataques de engenharia social.

Além disso, o espaço para criar deepfakes será reduzido graças à comercialização contínua de aplicativos avançados. Isso pode acabar levando a falsificação em tempo real por meio de aplicativos de voz e vídeo que podem passar por análises biométricas, representando um desafio para formas seguras de autenticação, como impressões de voz ou reconhecimento facial.

Mais ataques contra sistemas menores na cadeia de suprimentos:

Em muitas redes, o Linux executa muitos dos sistemas de computação de back-end e, até recentemente, não era o alvo principal da comunidade cibercriminosa. Recentemente, novos binários maliciosos foram detectados visando o subsistema Windows da Microsoft para Linux (WSL), que é uma camada de compatibilidade para executáveis binários do Linux nativamente no Windows 10, Windows 11 e Windows Server 2019.

Além disso, já está sendo feito malware de botnet para plataformas Linux. Isso expande ainda mais a superfície de ataque no núcleo da rede e aumenta as ameaças contra as quais é preciso se defender. Isso tem ramificações para dispositivos de tecnologia operacional (OT) e cadeias de suprimentos em geral que rodam em plataformas Linux.

Carteira, o espaço e a casa

O desafio para os defensores no futuro é muito mais do que o número crescente de ataques ou a evolução das técnicas dos cibercriminosos. Novas áreas estão sendo exploradas, cobrindo uma superfície de ataque ainda mais ampla. Isso será especialmente difícil porque, ao mesmo tempo, as organizações em todo o mundo continuarão a expandir suas redes com novas vantagens impulsionadas pelo trabalho em qualquer lugar, pelo aprendizado remoto e por novos serviços em nuvem.

Da mesma forma, os jogos on-line são cada vez mais populares. Essa conectividade mais rápida em todos os lugares e o tempo todo apresenta uma grande oportunidade de ataque para os cibercriminosos. Os atores da ameaça dedicarão recursos significativos para atacar e explorar ambientes emergentes nas bordas e “em qualquer lugar” da rede estendida, em vez de almejar apenas a rede principal.

O crime cibernético visa o espaço:

O FortiGuard Labs prevê novas ameaças de Prova de Conceito (POC) visando redes de satélite no próximo ano, à medida que o acesso à Internet via satélite continua a crescer. Os alvos mais importantes serão as organizações que dependem da conectividade baseada em satélite para apoiar atividades de baixa latência, como jogos on-line ou o fornecimento de serviços essenciais para locais remotos, bem como campos remotos de trabalho, oleodutos ou navios de cruzeiro e companhias aéreas. Isso também ampliará a superfície de ataque à medida que as organizações adicionam redes de satélite para conectar seus sistemas que anteriormente estavam fora da rede, como dispositivos OT remotos. É provável que esses alvos sofram ataques, como ransomware.

Proteja suas carteiras digitais:

O sequestro de transferências eletrônicas tornou-se cada vez mais difícil para os cibercriminosos, pois as instituições financeiras criptografam as transações e exigem autenticação multifator (MFA). As carteiras digitais, por outro lado, às vezes podem ser menos seguras. Embora as carteiras individuais não sejam tão lucrativas, isso pode mudar à medida que as empresas começam a usar cada vez mais as carteiras digitais como moeda para transações online. É provável que malwares sejam criados especificamente para atacar credenciais armazenadas e esvaziar carteiras digitais.

eSports também são alvo:

eSports ou esportes eletrônicos são competições de videogame multijogador organizadas, geralmente envolvendo jogadores profissionais e times. É uma indústria em expansão que deve ultrapassar US$ 1 bilhão em receita este ano. Os eSports são um alvo atraente para os cibercriminosos, seja por meio do uso de ataques DDoS, ransomware, roubo financeiro e transacional ou ataques de engenharia social, já que exigem conectividade constante, interatividade entre jogadores e costumam ser jogados em redes domésticas com segurança inconsistente ou em situações com grandes quantidades de acesso Wi-Fi aberto. Dado seu ritmo de crescimento e interesse, os esportes eletrônicos e os jogos on-line provavelmente serão grandes alvos de ataque em 2022.

Nova paisagem, fora da borda

Mais bordas estão surgindo pelo número crescente de dispositivos de Internet das Coisas (IoT) e OT, bem como dispositivos inteligentes alimentados por 5G e IA que permitem transações em tempo real e criação de aplicações. Novas ameaças baseadas em bordas continuarão a surgir, à medida que os cibercriminosos visam toda a rede estendida como um ponto de entrada para um ataque.

Os cibercriminosos trabalharão para maximizar quaisquer violações de segurança em potencial criadas por bordas inteligentes e avanços no poder da computação para criar ameaças avançadas e mais destrutivas em uma escala sem precedentes. E, à medida que os dispositivos de borda se tornam mais poderosos com mais recursos nativos, novos ataques serão projetados para “viver fora da borda”. É provável que haja um aumento nos ataques direcionados a OT, principalmente na borda, à medida que a convergência de redes de TI e OT continua.

• Os cibercriminosos prosperam da borda:

Está surgindo uma nova ameaça com base na borda que permite que o malware aproveite os kits de ferramentas e recursos existentes em ambientes comprometidos para fazer com que os ataques e a exfiltração de dados sejam vistos como atividade normal do sistema e passem despercebidos. Ataques Hafnium em servidores Microsoft Exchange usaram essa técnica para viver e persistir em controladores de domínio.

Esses ataques são eficazes porque usam ferramentas legítimas para realizar suas atividades ilegais. Combinar essas técnicas com Edge Access Trojans (EADs) pode significar que novos ataques serão projetados para viver fora da borda, à medida que os dispositivos de borda se tornam mais poderosos com mais recursos nativos e, é claro, mais privilégios. O malware de borda pode monitorar dados e atividades de borda e, em seguida, roubar, sequestrar ou até mesmo resgatar sistemas, aplicações e informações essenciais, evitando a detecção.

A Dark Web torna os ataques à infraestrutura crítica escalonáveis:

Os cibercriminosos aprenderam que podem ganhar dinheiro revendendo seu malware online como um serviço. Em vez de competir com outros que oferecem ferramentas semelhantes, eles irão expandir sua oferta para incluir ataques baseados em OT. Exigir um resgate por esses sistemas e infraestruturas essenciais será lucrativo para os cibercriminosos, mas pode ter consequências terríveis, como afetar a vida e a segurança das pessoas.

Como as redes estão cada vez mais interconectadas, virtualmente qualquer ponto de acesso pode ser um alvo para invadir a rede de TI. Tradicionalmente, os ataques aos sistemas de OT eram domínio de agentes de ameaças mais especializados, mas esses recursos estão cada vez mais incluídos nos kits de ataque disponíveis para compra na dark web, tornando-os disponíveis para um grupo muito maior de invasores.

Recomendações

O perímetro tornou-se mais fragmentado e as equipes de segurança cibernética costumam operar em silos. Ao mesmo tempo, muitas organizações estão mudando para um modelo híbrido ou com várias nuvens. Todos esses fatores criam uma tempestade perfeita para que os cibercriminosos adotem uma abordagem holística e sofisticada. Uma arquitetura de malha de segurança cibernética integra controles de segurança em e através de redes e ativos amplamente distribuídos.

As organizações podem se beneficiar de uma plataforma de segurança integrada que protege todos os ativos locais, no data center, na nuvem ou no perímetro. Os defensores terão que planejar com antecedência, aproveitando o poder da IA e do aprendizado de máquina (ML) para acelerar a prevenção, detecção e resposta a ameaças. Tecnologias avançadas de endpoint, como detecção e resposta (EDR), podem ajudar a identificar ameaças maliciosas com base no comportamento.

Além disso, a abordagem de Zero Trust Network Access (ZTNA) será essencial para proteger o acesso a aplicações para estender as proteções a funcionários móveis e alunos on-line, enquanto a SD-WAN segura é importante para proteger os limites da WAN em evolução. Também a segmentação continuará a ser uma estratégia crítica para restringir o movimento lateral dos cibercriminosos dentro da rede e manter as violações restritas a um pequeno espaço.

A inteligência de ameaças integrada e acionável pode melhorar a capacidade de uma organização de se defender em tempo real à medida que a velocidade dos ataques continua a aumentar. Enquanto isso, em todos os setores e tipos de organizações, os dados compartilhados e a colaboração podem permitir respostas e prevenções mais eficazes para deter as futuras técnicas e esforços dos criminosos. O alinhamento de forças por meio da colaboração deve permanecer uma prioridade.