A CrowdStrike lançou hoje (20) o Relatório de Investigação de Ameaças 2024, destacando as últimas tendências, campanhas e táticas dos adversários com base nas análises dos caçadores de ameaças e do time de inteligência de elite da CrowdStrike.
O relatório revela um aumento nos ataques de adversários estado-nação e do cibercrime que explora credenciais e identidades legítimas para evitar a detecção e contornar os controles de segurança legados. Também foi identificado o crescimento nas chamadas intrusões hands-on-keyboard (com um adversário com as mãos em um teclado), de domínio cruzado (cross-domain) e da exploração de painéis de controle na nuvem.
Principais destaques
Adversários da Coreia do Norte passam-se por funcionários legítimos dos EUA: O FAMOUS CHOLLIMA se infiltrou em mais de 100 empresas de tecnologia, principalmente dos Estados Unidos. Utilizando documentos de identidade falsificados ou roubados, os adversários conseguiram emprego remoto como profissionais de TI para exfiltrar dados e realizar atividades maliciosas.
Intrusões “hands-on-Keyboard” aumentam 55%: agentes de ameaças estão envolvendo-se ainda mais com as chamadas atividades com mãos no teclado (hands-on-keyboard) para se passarem por usuários legítimos e dispersar mecanismos de segurança legados. Aproximadamente 86% dessas intrusões são executadas por adversários do eCrime que buscam ganhos financeiros. Estes ataques aumentaram 75% no setor de saúde e 60% no setor de tecnologia, que continua a ser o mais visado há sete anos consecutivos.
Violação de ferramentas de RMM aumenta em 70%: Adversários como o CHEF SPIDER (eCrime) e o STATIC KITTEN (Iran-nexus), utilizam ferramentas legítimas de Monitoramento e Gestão Remoto (RMM), como o ConnectWise ScreenConnect, para a exploração de endpoints. O abuso de ferramentas de RMM representa 27% de todas as intrusões “hands-on-keyboard”.
Ataques de domínios cruzados persistem: Os agentes de ameaças exploram cada vez mais credenciais válidas para violar ambientes de nuvem e eventualmente utilizar esse acesso para alcançar os endpoints. Estes ataques deixam rastros sutís nesses domínios, como peças de um quebra-cabeça separadas, dificultando a detecção.
Adversários da nuvem visam painéis de controle: Os adversários da nuvem, como o SCATTERED SPIDER (eCrime), estão utilizando engenharia social, alterações de políticas e acesso ao gerenciamento de senhas para se infiltrar em ambientes de nuvem. Eles exploram as conexões entre o painel de controle da nuvem e os endpoints para se deslocar lateralmente, manter a permanência e exfiltrar dados.
“Há mais de uma década monitoramos atentamente os hacktivistas mais eficazes, o eCrime e os adversários estado-nação”, disse Adam Meyers, chefe de operações contra adversários da CrowdStrike. “Ao rastrear quase 250 adversários no ano passado, surgiu um tema central: os agentes de ameaças estão cada vez mais envolvidos em intrusões interativas e aplicando técnicas de domínio cruzado para dificultar a detecção e atingir seus objetivos. Nossa busca por ameaças é abrangente, liderada por humanos e fornece dados diretamente aos algoritmos que alimentam a plataforma Falcon, que é nativa de IA, garantindo que estejamos à frente das ameaças crescentes e continuemos a fornecer as soluções de segurança cibernética mais eficazes do setor”, concluiu.
