A análise da CLM com base no Annual Threat Hunting Report 2024, foi realizada incorporando dados das coligadas da empresaa PinnacleOne, grupo consultivo e WatchTower, que fornece serviços de detecção de ameaças e análise para identificar invasores. Segundo a pesquisa, o grupo “The Com” subiu ao topo entre os cibercriminosos, explorando credenciais roubadas obtidas em mercados clandestinos, investiu no SIM-swap, que transfere o número de telefone da vítima para um chip controlado por eles. Estas e outras práticas criminosas foram as ciberameaças de maior impacto em 2024.
De acordo com os especialistas, o foco dos ciberataques, com hackers, aparentemente, a serviço do governo chinês foram as redes de retransmissão operacional compostas por de servidores de diferentes provedores de serviços em nuvem e roteadores para escritórios e residências (SOHO), que foram hackeados. Isso permitiu aos hackers migrarem através dessas redes, por meio de proxys residenciais, localizado no país-alvo, evitando suspeitas e bloqueios. Essa técnica permite alterar os nós de saída, burlando, ainda mais, a detecção.
Cenário de ransomware
Exemplos de ataques incluem Volt Typhoon/BRONZE SILHOUTTE, Salt Typhoon, Gallium (Operação Tainted Love), HAFNIUM e APT41 com ataques sistemáticos contra setores de infraestrutura crítica nos Estados Unidos, Europa, África e Ásia, visando objetivos militares e de inteligência estratégica dos chineses, afirmou a análise.
A pesquisa apontou que para confundir a cibersegurança, os hackers chineses passaram a usar técnicas em estilo antigo, do tipo mãos no teclado e métodos mais furtivos contra dispositivos com acesso à internet para se infiltrar no tráfego legítimo da rede, sem serem percebidos.
“Os hackers alinhados com a China estabeleceram uma nova forma de operar. O pior é que conseguem atravessar uma rede de retransmissão praticamente sem serem detectados, a partir de um nó residencial, de reputação neutra, dentro do país-alvo, conduzindo espionagens, testando a reação do país atacado, bem como habilitar objetivos militares para pré-posicionamento em tempos de guerra. Isso evidencia a relevância de serviços de Detecção e Resposta a Ameaças e avaliações de risco, em tempo real, 24 por 7, tanto para as organizações como para assegurar a soberania digital do país”, alertou o CEO da CLM, Francisco Camargo.
No relatório divulgado, as ameaças mais frequentemente relatadas foram famílias emergentes de ransomware e novas atividades de infostealers nas plataformas Windows, macOS e Linux. A WatchTower detectou o uso indevido de software legítimo por agentes de ameaças mais de uma dezena de vezes nos últimos 12 meses. Além de diversas vulnerabilidades e explorações.
O The Com explora credenciais roubadas obtidas em mercados clandestinos, realiza ataques de troca de SIM e usa tokens de autenticação em nuvem codificados, vazados de repositórios como o GitHub, para se infiltrar em sistemas em nuvem com a ajuda de ferramentas automáticas. Também usa ferramentas legítimas nativas da nuvem para manter a persistência, tornando suas atividades mais difíceis de detectar.
Os pesquisadores afirmaram que o grupo adicionou também o ransomware Qilin ao seu arsenal e firmaram uma parceria com o grupo de ransomware RansomHub. Esses criminosos cibernéticos servem como um termo genérico para grupos associados como 0ktapus, StarFraud e o antigo Lapsus$. O Akira emergiu como o grupo de ransomware mais produtivo de 2024, seguido pelo Play e pelo BlackSuit.
