O estudo ainda apontou crescimento nos elementos de ciberespionagem nesses setores envolvendo APTs
A Trellix lançou hoje a edição de junho de 2023 do The CyberThreat Report do Trellix Advanced Research Center, que analisa as tendências de cibersegurança do último trimestre. Os insights foram obtidos a partir de uma rede global de pesquisadores especializados que analisam mais de 30 milhões de detecções de amostras maliciosas diariamente. A telemetria combinada é coletada de um bilhão de sensores e dados de inteligência de código aberto e fechado.
“Um ano após o início do conflito Rússia-Ucrânia, as capacidades cibernéticas ofensivas estão sendo alavancadas estrategicamente pelos estados-nação para espionagem e disrupção”, disse John Fokker, chefe de inteligência de ameaças do Trellix Advanced Research Center. “Tanto para os países líderes quanto para os países em desenvolvimento, vemos riscos para infraestruturas críticas como telecomunicações, energia e manufatura por grupos notáveis de APT – um alerta para organizações públicas e privadas para implantar proteções modernas para ficar à frente de ameaças em rápida evolução.”
O relatório mais recente do Trellix Advanced Research Center abrange o primeiro trimestre de 2023 e é composto por evidências de atividades vinculadas a ransomware e atores APT apoiados por estados-nação, ameaças a e-mail, uso malicioso de ferramentas de segurança legítimas e muito mais.
As principais descobertas incluem:
· Espionagem cibernética coordenada. Os grupos APT vinculados à China, incluindo Mustang Panda e UNC4191, são os mais ativos na segmentação de estados-nação, gerando 79% de toda a atividade detectada. A Trellix prevê que os grupos APT continuarão com espionagem cibernética e ataques cibernéticos disruptivos em conjunto com atividades militares físicas.
· Em Ransomware, o dinheiro é rei. As motivações para o ransomware ainda são financeiras – refletidas nos setores de Seguros (20%) e Serviços Financeiros (17%) com o maior número de detecções de possíveis ataques. As vítimas de sites de vazamento mais comuns são empresas de médio porte sediadas nos EUA (48%) com 51-200 funcionários (32%) e US$ 10-50 milhões em receita (38%).
· Cobalt Strike é um favorito. Apesar das tentativas em 2022 de tornar mais difícil para os agentes de ameaças abusarem da ferramenta, o Cobalt Strike cresce como uma ferramenta preferida por criminosos cibernéticos e agentes de ransomware. A Trellix detectou o Cobalt Strike em 35% da atividade do estado-nação e 28% dos incidentes de ransomware – quase o dobro do quarto trimestre de 2022.
· Old Vulns, uma explosão do passado. Muitas vulnerabilidades críticas consistem em desvios para patches para CVEs mais antigos, bugs da cadeia de suprimentos que utilizam bibliotecas desatualizadas ou vulnerabilidades corrigidas há muito tempo que nunca foram abordadas adequadamente. Uma vulnerabilidade da Apple divulgada em fevereiro de 2023 tinha raízes desde a exploração FORCEDENTRY divulgada em 2021.
· Acesso não autorizado à nuvem. Ataques de infraestrutura em nuvem na Amazon, Microsoft e Google estão aumentando. Embora ataques mais sofisticados com autenticação multifator, penetração de proxy e execução de API continuem, a técnica de ataque dominante usa contas válidas, com 2x mais detecções do que qualquer outro vetor. O acesso não autorizado a contas legítimas em ambientes de trabalho remoto continua significativo.
“As equipes de operações de segurança estão em uma corrida para aprimorar os recursos de defesa para proteger as organizações de crescentes superfícies de ataque”, disse Joseph “Yossi” Tal, vice-presidente sênior do Trellix Advanced Research Center. “Já com falta de pessoal, as equipes se atualizam diariamente para processar milhões de pontos de dados em redes complicadas. O objetivo da Trellix é fornecer pesquisas para fortalecer as posturas de segurança por meio de insights obtidos de nosso enorme reservatório de inteligência.”
“A Trellix está preparada para auxiliar os setores de Telecomunicações, Finanças e Energia no Brasil na jornada da plataforma de XDR”, comenta Paulo Breiten, diretor da Trellix para Brasil.
O Relatório de Ameaças Cibernéticas inclui dados proprietários da rede de sensores da Trellix, investigações sobre atividades cibernéticas e de estado-nação pelo Trellix Advanced Research Center, inteligência de código aberto e fechado e sites de vazamento de agentes de ameaças. O relatório é baseado na telemetria relacionada à detecção de ameaças, quando um arquivo, URL, endereço IP, e-mail suspeito, comportamento de rede ou outro indicador é detectado e relatado pela plataforma Trellix XDR.