O ransomware segue dominando o cenário de ameaças e foi o tipo mais comum de ataque cibernético pelo sétimo trimestre consecutivo. De acordo com o relatório Cisco Talos Incident Response (CTIR), os ataques fazem grande uso de phishing com maldocs de cavalos de Troia como vetor de infecção. Quase 70% dos ataques de ransomware dependeram de cavalos de Troia comuns.
Segundo o levantamento, que observou as principais ameaças de novembro de 2020 a fevereiro de 2021, as variantes em destaque foram Ryuk, Vatet, Egregor e WastedLocker. Os cibercriminosos também empregam ferramentas disponíveis comercialmente e de código aberto como Cobalt Strike e Bloodhound, além de ferramentas nativas no sistema da vítima como PowerShell.
No entanto, também foi observado ataques envolvendo o comprometimento do e-mail comercial enviando um phishing com uma página de login falsificada do Microsoft Online a fim de efetuar login falso na conta do Office 365.
Saúde na mira
O estudo observou também que cibercriminosos costumam ter como alvo os cuidados de saúde, direcionando uma enxurrada de ataques de ransomware a organizações desse setor. É importante notar que houve um aumento nos incidentes envolvendo o malware Vatet, conhecido por ter como alvo organizações de saúde.
O CTIR identificou um padrão potencial no qual hospitais regionais associados a um determinado hospital são atacados inicialmente e podem servir como alvos subsequentes, principalmente se tiverem conexões VPN ativas com a organização afetada. Existem muitas razões pelas quais os atores continuam a visar o setor de saúde, incluindo a pandemia COVID-19, incentivando as vítimas a pagar para restaurar os serviços o mais rápido possível.
Vendors também são alvo
Os pesquisadores do CTIR se envolveram em vários projetos de resposta a incidentes nos quais as organizações, sem saber, baixaram atualizações de Trojan para o software Orion da SolarWinds. Já a Microsoft anunciou recentemente quatro vulnerabilidades no Exchange Server e revelou que um ator de ameaças chamado Hafnium estava explorando essas vulnerabilidades visando uma série de organizações.
Logo, outros agentes de ameaças começaram a aproveitar dessas explorações, variando de APTs a grupos de criptomoedas, com organizações afetadas estimadas em dezenas de milhares. O CTIR tem respondido a um número crescente de incidentes envolvendo as vulnerabilidades do Microsoft Exchange.
