O relatório trimestral da Cisco Talos aponta que o phishing continuou sendo o principal método de acesso inicial, aparecendo em um terço de todos os incidentes , mesmo com uma queda de 50% em relação ao trimestre anterior. Os agentes de ameaça, em 75% dos casos, exploraram contas de e-mail internas comprometidas ou de parceiros comerciais confiáveis para enviar e-mails maliciosos, contornando os controles de segurança e conquistando a confiança das vítimas.
O objetivo da maioria dos ataques de phishing observados na pesquisa demonstrava ser a coleta de credenciais, sugerindo que os cibercriminosos podem considerar a intermediação de credenciais comprometidas como mais simples, confiável e lucrativa do que outras atividades, como a engenharia de um pagamento financeiro ou o roubo de dados proprietários.
De acordo com o relatório, os incidentes de ransomware e pré-ransomware representaram metade de todos os ataques no segundo trimestre, semelhante ao mesmo período anterior. Os dados de incidentes da Talos respondeu ao ransomware Qilin pela primeira vez, identificando ferramentas e táticas, técnicas e procedimentos (TTPs) não relatados anteriormente, incluindo um novo método de roubo de dados. As observações da atividade do Qilin indicam uma potencial expansão do grupo e/ou um aumento no ritmo operacional em um futuro próximo, justificando como uma ameaça a ser monitorada.
Além disso, os cibercriminosos de ransomware utilizaram uma versão desatualizada do PowerShell, o PowerShell 1.0, em um terço dos engajamentos de ransomware e pré-ransomware neste trimestre, provavelmente para evitar a detecção e ganhar mais flexibilidade para suas capacidades ofensivas.
Como os ataques de phishing ocorrem
No segundo trimestre, o phishing foi usado como ponto de entrada em aproximadamente 33% dos incidentes, uma queda em relação aos 50% anteriores, possivelmente devido à redução de campanhas de vishing que espalharam ransomwares como Cactus e Black Basta. Em 75% dos casos de phishing, os atacantes usaram contas de e-mail comprometidas de dentro da empresa ou de parceiros confiáveis para enviar mensagens maliciosas. Isso ajudou a burlar defesas e ganhar a confiança das vítimas. Em um caso, e-mails de um parceiro legítimo redirecionaram usuários a uma página falsa do Microsoft O365, onde os atacantes buscaram roubar credenciais e tokens de autenticação.
O relatório apresenta, por exemplo, um caso em que os e-mails de phishing utilizavam links maliciosos que direcionaram as vítimas para uma página falsa de login do Microsoft Office 365, que solicitava aos visitantes a autenticação multifator (MFA), – um recurso de segurança que adiciona uma camada extra de proteção ao seu acesso a serviços e aplicações da Microsoft – para que o invasor pudesse roubar as credenciais e os tokens de sessão dos usuários.
O levantamento identificou também que, embora, a tática de aproveitar contas de e-mail válidas comprometidas seja frequentemente associada a ataques de comprometimento de e-mail comercial, essa observação sugere que os cibercriminosos podem considerar a intermediação de credenciais comprometidas mais lucrativas do que tentar manipular um alvo para fazer um pagamento financeiro, por exemplo. Além disso, não incluir uma solicitação financeira no corpo do e-mail provavelmente torna o e-mail menos suspeito para a vítima, aumentando potencialmente as chances de um ataque bem-sucedido.
