Ser pego de surpresa é o pior cenário da segurança cibernética. A ameaça que você não conhece, o ataque que você não percebe que está chegando, o hacker escondido em suas redes que não é detectado. Essas são situações que podem derrubar uma empresa. Expor esses perigos é o objetivo da inteligência de ameaças.
As empresas em 2022 enfrentaram uma série de agentes de ameaças: ameaças persistentes avançadas sofisticadas (APTs, na sigla em inglês), criminosos cibernéticos implacáveis, pessoas de dentro da organização insatisfeitas, o ressurgimento do hacktivismo e dos ataques de negação de serviço distribuído (DDoS) e muito mais. A geopolítica dominou as manchetes e a ciberesfera, mesmo quando os agentes de ameaça mudavam continuamente de táticas e técnicas e compartilhavam suas ferramentas, motivados pela sabotagem, espionagem e dinheiro.
Em 2022, os setores público e privado uniram forças, compartilharam suas informações e, assim, reforçaram as defesas das organizações.
Nosso relatório “Ameaças cibernéticas: 2022 em retrospectiva” analisa os agentes, tendências, ferramentas e motivações das ameaças que dominaram o cenário das ameaças cibernéticas no ano passado. O documento traz estudos de caso de resposta a incidentes, com uma visão direta e detalhada sobre ferramentas, técnicas e procedimentos (TTPs, na sigla em inglês) usados em invasões. Também apresenta a lógica de detecção, para ajudar seus defensores na varredura de seus próprios sistemas e redes em busca de agentes de ameaças mal-intencionados.
Ao traçar o panorama do que esperar em 2023, trabalhamos, como sempre, não apenas para acompanhar a atividade cibernética hostil, mas também para nos antecipar a ela e permanecer à frente.
Vulnerabilidade e agilidade das ameaças
Em 2022:
- Acredita-se que a vulnerabilidade Log4Shell na estrutura de log baseada em Java Apache Log4j tenha afetado 93% dos ambientes de nuvem empresarial e centenas de milhões de máquinas. Uma série de ameaças cibernéticas aproveitaram a oportunidade para explorar essa vulnerabilidade, ao mesmo tempo em que as organizações trabalhavam para identificar as instâncias afetadas nos seus ambientes.
- Os agentes da ameaça, com motivação e sofisticação variadas, utilizaram ferramentas e estruturas comoditizadas e compartilhadas, para acelerar e otimizar suas operações. Os invasores também se empenharam em fazer tentativas ágeis e robustas para estressar os usuários e as medidas de segurança, por meio de engenharia social ou desvio da autenticação multifator (MFA, na sigla em inglês).
- Alguns agentes de ameaças desenvolveram formas melhores de ocultar as suas operações de espionagem e roubo de propriedade intelectual, tornando cada vez mais difícil identificar quem eram e o que estavam roubando. O uso de proxies de ocultação-como-serviço tornou-se o método preferido desses agentes de ameaças para ocultar seus rastros enquanto comprometiam as vítimas e exfiltravam informações confidenciais e sensíveis.
Olhando para o futuro:
Os invasores continuarão vasculhando sistemas não corrigidos em busca de Log4Shell e outras vulnerabilidades e vão explorar onde puderem. As vulnerabilidades das bibliotecas de software provavelmente também estarão na mira dos agentes de ameaças no próximo ano.
Patches deficientes ou inconsistentes continuam a ser um fator-chave para o sucesso das intrusões nas redes. A maioria dos ataques bem-sucedidos explora vulnerabilidades que já foram corrigidas por fabricantes ou desenvolvedores e cujas correções estão disponíveis para os clientes implementarem. Ataques bem-sucedidos resultantes de explorações de dia zero ainda são comparativamente raros. Os invasores farão o mínimo necessário para obter acesso a uma rede e não gastarão recursos de ponta desnecessariamente.
Portanto, recomendamos que as organizações priorizem a defesa implementando patches detalhados e rigorosos em suas estratégias de segurança para aumentar a barreira de entrada aos invasores.
Questões geopolíticas e o cenário de ameaças
Em 2022:
- Os agentes de ameaças motivados por espionagem e sabotagem utilizaram as suas capacidades cibernéticas ofensivas para complementar as abordagens tradicionais de guerra. Usaram essas capacidades contra países e entidades privadas que pareciam apoiar os seus supostos inimigos. Procuraram obter vantagem estratégica enfraquecendo a infraestrutura digital e física.
- Os agentes de ameaça continuaram a participar na disputa pela supremacia econômica por meio do roubo de propriedade intelectual, com os ataques cibernéticos que só aumentaram os contínuos problemas da cadeia de abastecimento e os desafios financeiros. Eles utilizaram infraestruturas adquiridas e ativos comprometidos para se infiltrar e interditar cadeias de abastecimento, além de minar comunicações seguras em todo o mundo. Os alvos incluíram empresas de tecnologia de ponta e os setores de telecomunicações, manufatura e logística.
Olhando para o futuro:
As agências de segurança e de aplicação da lei, juntamente com a indústria de segurança comercial, continuarão a utilizar divulgações públicas para combater as atividades das APTs e impedir as suas operações. Os provedores de serviços em nuvem, serviços gerenciados e gerenciamento de identidade e acesso (IAM, na sigla em inglês) com acesso privilegiado às redes dos clientes estarão, cada vez mais, na mira preferencial dos agentes mais sofisticados. O objetivo desses agentes será obter o acesso escalonado necessário para comprometer os alvos de suas operações de espionagem e de roubo de propriedade intelectual.
Evolução do crime cibernético
Em 2022:
- O ransomware continuou a ser uma grande ameaça para as indústrias em todo o mundo, já que os agentes da ameaça conseguiram contornar as medidas de segurança e infectar com sucesso redes – da indústria, do varejo e outras – para extorquir suas vítimas cobrando altos resgates. Os governos e as empresas privadas responderam às ameaças cibernéticas com sanções e listas negras, que acabaram com as operações de pelo menos um grande grupo de ransomware. Devido à natureza fragmentada e fluida dos grupos de ransomware, muitos criminosos cibernéticos simplesmente migraram para implantar suas competências e capacidades em outras marcas e operações menos conhecidas.
- O malware para roubo de credenciais proliferou no ecossistema do crime cibernético e impulsionou a demanda por acesso-como-serviço (AaaS, na sigla em inglês) e outras ofertas de crimes cibernéticos comoditizados, que alimentaram fraudes cibernéticas e ataques oportunistas em vários setores e países.
Olhando para o futuro:
Os governos também adotarão o uso contínuo de sanções como forma de restringir os ataques de ransomware e outros agentes de ameaças, assim como o acesso e a utilização de fundos extorquidos e roubados. As organizações serão obrigadas a desenvolver os seus esforços de defesa e estratégias de segurança para responder a ataques mais frequentes, alimentados por um ecossistema criminoso cibernético cada vez mais comoditizado com aplicações-como-serviço.
Contatos
.jpg.pwcimage.105.105.jpg)
