Analysis
Relatório da IBM Security indica como os ciberataques evoluíram em 2020, com os ataques a centrarem-se em entidades como hospitais e fabricantes de produtos médicos
25/02/2021
A IBM Security divulgou o X-Force Threat Intelligence Index 2021, salientando como os ciberataques evoluíram em 2020 à medida que os agentes de ameaça procuravam lucrar com os desafios socioeconómicos, empresariais e políticos sem precedentes, originados pela pandemia da COVID-19. Em 2020, a IBM Security X-Force observou que os ataques se centraram em entidades das quais os esforços globais de resposta à COVID-19 dependiam fortemente, como hospitais, fabricantes de produtos médicos e farmacêuticos, bem como empresas de energia que alimentavam a cadeia de abastecimento da COVID-19. De acordo com o novo relatório, os ciberataques nas áreas da saúde, da produção industrial e da energia duplicaram face ao ano anterior, com os agentes da ameaça a direcionarem-se para organizações que não podiam pagar o tempo de inatividade, devido aos riscos de interromperem os esforços médicos ou cadeias de abastecimento críticas. De facto, as indústrias transformadora e energética foram as mais atacadas em 2020, ficando apenas atrás do setor financeiro e segurador. A contribuir para isto esteve o facto de os atacantes aproveitarem o aumento de quase 50% nas vulnerabilidades nos sistemas de controlo industrial (ICS), de que a produção e a energia dependem fortemente. "No fundo, a pandemia reformulou o que hoje é considerado como infraestrutura crítica e os atacantes tiraram partido dessa situação. Muitas organizações foram empurradas, pela primeira vez, para as linhas da frente dos esforços de resposta, seja para apoiar a investigação da COVID-19, manter as cadeias de abastecimento de vacinas e alimentos ou produzir equipamento de proteção individual", referiu Nick Rossmann, Global Threat Intelligence Lead, IBM Security X-Force. "A vitimologia dos atacantes mudou à medida que a cronologia dos acontecimentos da COVID-19 sofria desenvolvimentos, indicando mais uma vez a adaptação, a capacidade de recursos e a persistência dos adversários cibernéticos". O X-Force Threat Intelligence Index baseia-se em insights e observações resultantes da monitorização de mais de 150 mil milhões de eventos de segurança por dia, em mais de 130 países. Adicionalmente, os dados são recolhidos e analisados a partir de múltiplas fontes dentro da IBM, incluindo a IBM Security X-Force Threat Intelligence e Incident Response, X-Force Red, IBM Managed Security Services, e dados fornecidos pela Quad9e pela Intezer, que também contribuíram para o relatório de 2021. Alguns dos principais aspetos salientados pelo relatório incluem:
Investimento em malware open-source ameaça ambientes cloudNo meio da pandemia da COVID-19, muitas empresas procuraram acelerar a sua adoção de cloud. “Na verdade, uminquéritorecente da Gartner descobriu que quase 70% das organizações que utilizam serviços de cloud hoje planeiam aumentar o seu investimento em cloud na sequência da disrupção causada pela COVID-19” . Mas com o Linux a alimentaratualmente 90% das workloads de cloud e o relatório da X-Force a detalhar um aumento de 500% nas famílias de malware relacionados com Linux na última década, os ambientes cloud podem tornar-se um vetor de ataque privilegiado para os agentes da ameaça. Com o aumento de malware open-source, a IBM indica que os atacantes podem estar à procura de novas formas de melhorar as suas margens de lucro, possivelmente reduzindo custos, aumentando a eficácia e criando oportunidades para criar ataques mais rentáveis em escala. O relatório destaca vários grupos de ameaças, como APT28, APT29 e Carbanak, a recorrerem a malware open-source, indicando que esta tendência será um acelerador para mais ataques cloud no próximo ano. O relatório sugere ainda que os atacantes estão a explorar o poder de processamento expansível que os ambientes cloud disponibilizam, aproveitando as elevadas taxas de utilização cloud para as organizações vítimas. A Intezer observou em 2020 mais de 13% de novo código em malware Linux de cryptomining, anteriormente não observado. Com os atacantes de olhos postos na cloud, a X-Force recomenda que as organizações considerem uma abordagem “zero trust” à sua estratégia de segurança. As empresas devem também tornar a computação confidencial um componente central da sua infraestrutura de segurança para ajudar a proteger os seus dados mais sensíveis – ao encriptar dados em uso, as organizações podem ajudar a reduzir o risco de exploração por parte de um agente malicioso, mesmo que sejam capazes de aceder aos seus ambientes sensíveis. Cibercriminosos disfarçados de empresas conhecidasO relatório de 2021 destaca que os cibercriminosos optaram por se disfarçar mais frequentemente como marcas em que os consumidores confiam. Considerada como uma das marcas mais influentes do mundo, a Adidas surgiu como atrativa para os cibercriminosos que tentam explorar a procura dos consumidores, de modo a encaminhar aqueles que queriam modelos ou linhas de ténis mais procurados, para sites maliciosos concebidos para parecer sites legítimos. Uma vez que um utilizador visitasse estes domínios de aparência legítima, os cibercriminosos procurariam realizar esquemas de pagamento online, roubar informações financeiras dos utilizadores, recolher credenciais de utilizador ou infetar os dispositivos das vítimas com malware. O relatório indica que a maioria dos ataques à Adidas estão associadas às linhas Yeezy e Superstar. A linha Yeezy, por si só, arrecadou 1,3 mil milhões de dólares em 2019 e foi um dos ténis mais vendidos para a gigante de roupa desportiva. É provável que, com o lançamento do novo modelo no início de 2020, os atacantes tenham aproveitado a procura pela conhecida marca para fazer o seu próprio lucro. Ransomware domina 2020 como ataque mais comumDe acordo com o relatório, em 2020 o mundo sofreu mais ataques de ransomware em comparação com 2019, com quase 60% dos ataques de ransomware a que a X-Force respondeu a utilizarem uma estratégia dupla de extorsão em que os atacantes encriptam, roubam e depois ameaçam divulgar dados, caso o resgate não seja pago. De facto, em 2020, 36% das violações de dados que a X-Force monitorizou vieram de ataques de ransomware que também envolveram alegados roubos de dados, sugerindo que violações de dados e ataques de ransomware estão a começar a colidir. O grupo de ransomware mais ativo reportado em 2020 foi o Sodinokibi (também conhecido como REvil), representando 22% de todos os incidentes de ransomware que a X-Force observou. A X-Force estima que o Sodinokibi terá roubado cerca de 21,6 terabytes de dados das suas vítimas, que quase dois terços das mesmas pagaram resgate e que cerca de 43% viram os seus dados divulgados, o que, segundo estimativas da X-Force, terá resultado num ganho de mais de 123 milhões de dólares para o grupo no ano passado. Tal como o Sodinokibi, o relatório concluiu que os grupos de ransomware mais bem-sucedidos em 2020 estavam também focados no roubo e na fuga de dados, bem como na criação de cartéis de ransomware-as-a-service e na subcontratação de aspetos-chave das suas operações a cibercriminosos especializados em diferentes áreas de um ataque. Em resposta a estes ataques de ransomware mais agressivos, a X-Force recomenda que as organizações limitem o acesso a dados sensíveis e protejam contas altamente privilegiadas com soluções de gestão de utilizadores privilegiados privileged access management (PAM)e de gestão de identidades e acessos - identity and access management (IAM). |