Ransomware absorve outras ciberameaças para criar sistema de distribuição interconectado

A Sophos publicou o Sophos Threat Report 2022, que mostra como é que força gravitacional do ‘buraco negro’ do ransomware está a absorver outras ciberameaças para formar um sistema de distribuição de ransomware massivo e interconectado – com consequências significativas para a segurança das TI. O relatório, elaborado pelos investigadores de segurança da SophosLabs, pelos especialistas em threat hunting e rapid response da equipa de Managed Threat Response, e ainda pela equipa de IA da Sophos, oferece uma perspetiva multidimensional sobre as ameaças e tendências de segurança que as organizações enfrentam em 2022.

De acordo com o relatório, partilhado pela Sophos com os meios de comunicação social, durante o próximo ano, o panorama do ransomware irá tornar-se ao mesmo tempo mais modular e mais uniforme, com os “especialistas” em ataques a oferecer diferentes elementos de um ataque “como serviço” (as-a-service) e disponibilizando manuais com ferramentas e técnicas que permitem que diferentes grupos adversários implementem ataques muito semelhantes. De acordo com os investigadores da Sophos, em 2021 os ataques individuais de grupos de ransomware deram lugar a ações de Ransomware-as-a-Service (RaaS), com programadores especializados em ransomware que se focavam em vender código e infraestruturas maliciosos a parceiros externos. Muitos dos mais destacados ataques de ransomware deste ano envolveram RaaS, incluindo o ataque feito à Colonial Pipeline, nos EUA, por um grupo afiliado do DarkSide. Um afiliado do ransomware Conti tornou público o manual de implementação utilizado pelos operadores, revelando passo a passo as ferramentas e técnicas que os atacantes poderiam usar para lançar aquele ransomware. Durante o próximo ano, o panorama do ransomware irá tornar-se ao mesmo tempo mais modular e mais uniforme, com os “especialistas” em ataques a oferecer diferentes elementos de um ataque “como serviço” (as-a-service) e disponibilizando manuais com ferramentas e técnicas que permitem que diferentes grupos adversários implementem ataques muito semelhantes. De acordo com os investigadores da Sophos, em 2021 os ataques individuais de grupos de ransomware deram lugar a ações de Ransomware-as-a-Service, com programadores especializados em ransomware que se focavam em vender código e infraestruturas maliciosos a parceiros externos. Muitos dos mais destacados ataques de ransomware deste ano envolveram RaaS, incluindo o ataque feito à Colonial Pipeline, nos EUA, por um grupo afiliado do DarkSide. Um afiliado do ransomware Conti tornou público o manual de implementação utilizado pelos operadores, revelando passo a passo as ferramentas e técnicas que os atacantes poderiam usar para lançar aquele ransomware.

As ciberameaças estabelecidas vão continuar a adaptar-se para distribuir ransomware. Tal inclui loaders, droppers e outros tipos de malware básico; os Initial Access Brokers geridos por humanos e cada vez mais avançados; spam; e adware. Em 2021, a Sophos reportou os novos ataques híbridos Gootloeader, que combinavam campanhas massivas com uma filtragem cuidadosa para identificar alvos para malwares específicos.

Prevê-se que continue a aumentar, tanto em alcance como em intensidade, a utilização de múltiplas formas de extorsão por parte dos atacantes de ransomware, de forma a pressionar as vítimas a pagar o resgate. Em 2021, os técnicos de resposta a incidentes da Sophos catalogaram 10 tipos diferentes de táticas de pressão, nomeadamente o furto e exposição de dados, telefonemas ameaçadores, ataques de denial of service (DDoS) e outros.

As criptomoedas continuarão a alimentar cibercrimes como o ransomware e o cryptomining malicioso, e a Sophos espera que esta tendência se mantenha até exisitr uma melhor regulamentação quanto às criptomoedas. Durante 2021, os investigadores da Sophos desvendaram cryptominers como o Lemon Duck, e outros menos comuns como o MrbMiner, que tiraram partido do acesso de vulnerabilidades recentes e alvos que já tinham sido atingidos por operadores de ransomware para instalar cryptominers em computadores e servidores.

“O ransomware prospera devido à sua habilidade de adaptação e inovação”, declarou Chester Wisniewski, Principal Research Scientist da Sophos, em comunicado. “Por exemplo, embora as ofertas de RaaS não sejam novas, a sua principal contribuição nos últimos anos foi a de colocar o ransomware ao alcance de atacantes menos qualificados ou com menos fundos. Esta realidade mudou e, em 2021, os programadores de RaaS têm investido o seu tempo e energia em criar código sofisticado e a perceber qual é a melhor forma de obter os maiores resgastes possíveis às vítimas, seguradoras e negociadores. Agora delegam em terceiros as tarefas de procurar vítimas, instalar e executar o malware, e bloquear as criptomoedas roubadas. Isto está a distorcer o panorama das ciberameaças, e as ameaças mais comuns como os loaders, os droppers e os Initial Access Brokers, que já existiam e causavam estragos antes da explosão do ransomware, têm sido absorvidas pelo ‘buraco negro’ que parece ser o ransomware, que consome tudo o que o rodeia. Já não é suficiente que as organizações presumam que estão seguras se apenas monitorizam as suas ferramentas de segurança e garantem que estas detetam código malicioso. Certas combinações de deteções, ou mesmo avisos, são o equivalente modeno a um ladrão partir um vaso de flores enquanto entra em nossa casa pela janela das traseiras. As equipas de segurança devem investigar os alertas, mesmo aqueles que no passado pareciam insignificantes, uma vez que estas intrusões mais comuns proliferaram e podem agora ser o primeiro passo necessário para depois controlar redes inteiras”.

Outras tendências analisadas pela Sophos neste relatório incluem:

• Após a descoberta (e patches) das vulnerabilidades do ProxyLogon e ProxyShell em 2021, a velocidade a que os atacantes as aproveitaram dos atacantes aumentou de tal forma que a Sophos espera ver tentativas continuadas e massivas de ataque a ferramentas de administração de TI e serviços orientados para a Internet, tanto por atacantes sofisticados como por cibercriminosos vulgares;
• A Sophos prevê ainda que os cibercriminosos aumentem a utilização de ferramentas de simulação de adversários, como Cobalt Strike Beacons, mimikatz e PowerSploit. As equipas de segurança devem verificar todos os alertas relacionados com ferramentas legítimas ou uma combinação destas, da mesma forma que verificariam uma deteção maliciosa, uma vez que podem indicar a presença de um intruso na rede;
• Em 2021 os investigadores da Sophos detalharam uma série de novas ameaças dirigidas a sistemas Linux, e em 2022 esperam ver um crescente interesse nos sistemas nele baseados, tanto em ambiente Cloud como em servidores web e virtuais;
• As ameaças a dispositivos móveis e os esquemas de engenharia social, incluindo o Flubot e o Joker, continuarão a existir e a diversificar-se, para atingir tanto particulares como organizações;
• A aplicação da inteligência artificial na cibersegurança vai continuar e acelerar-se, à medida que poderosos modelos de machine learning provam a sua importância na identificação de ameaças e priorização de alertas. Simultaneamente, no entanto, prevê-se que os atacantes recorram cada vez mais à IA, passando de campanhas de desinformação e falsos perfis de redes sociais riados com base em IA, para levar a cabo ataques “watering hole” (em que os atacantes infetam com malware websites muito utilizados pelos membros de uma empresa), emails de phishing e outros, à medida que surgem vídeos deepfake e tecnologias de sintetização de voz cada vez mais complexos.