Relatório de ameaças alerta para exploração de credenciais legítimas por Estados-nação

Ameaças infiltradas de adversários norte-coreanos têm como alvo as empresas de tecnologia dos EUA; ataques à nuvem, uso de domínio cruzado e abuso de credenciais e de ferramentas de monitoramento e gerenciamento remoto (RMM) persistem

Compartilhar:

A CrowdStrike lançou hoje (20) o Relatório de Investigação de Ameaças 2024, destacando as últimas tendências, campanhas e táticas dos adversários com base nas análises dos caçadores de ameaças e do time de inteligência de elite da CrowdStrike.

 

O relatório revela um aumento nos ataques de adversários estado-nação e do cibercrime que explora credenciais e identidades legítimas para evitar a detecção e contornar os controles de segurança legados. Também foi identificado o crescimento nas chamadas intrusões hands-on-keyboard (com um adversário com as mãos em um teclado), de domínio cruzado (cross-domain) e da exploração de painéis de controle na nuvem.

 

Principais destaques

Adversários da Coreia do Norte passam-se por funcionários legítimos dos EUA: O FAMOUS CHOLLIMA se infiltrou em mais de 100 empresas de tecnologia, principalmente dos Estados Unidos. Utilizando documentos de identidade falsificados ou roubados, os adversários conseguiram emprego remoto como profissionais de TI para exfiltrar dados e realizar atividades maliciosas.

 

Intrusões “hands-on-Keyboard” aumentam 55%: agentes de ameaças estão envolvendo-se ainda mais com as chamadas atividades com mãos no teclado (hands-on-keyboard) para se passarem por usuários legítimos e dispersar mecanismos de segurança legados. Aproximadamente 86% dessas intrusões são executadas por adversários do eCrime que buscam ganhos financeiros. Estes ataques aumentaram 75% no setor de saúde e 60% no setor de tecnologia, que continua a ser o mais visado há sete anos consecutivos.

 

Violação de ferramentas de RMM aumenta em 70%: Adversários como o CHEF SPIDER (eCrime) e o STATIC KITTEN (Iran-nexus), utilizam ferramentas legítimas de Monitoramento e Gestão Remoto (RMM), como o ConnectWise ScreenConnect, para a exploração de endpoints. O abuso de ferramentas de RMM representa 27% de todas as intrusões “hands-on-keyboard”.

 

Ataques de domínios cruzados persistem: Os agentes de ameaças exploram cada vez mais credenciais válidas para violar ambientes de nuvem e eventualmente utilizar esse acesso para alcançar os endpoints. Estes ataques deixam rastros sutís nesses domínios, como peças de um quebra-cabeça separadas, dificultando a detecção.

 

Adversários da nuvem visam painéis de controle: Os adversários da nuvem, como o SCATTERED SPIDER (eCrime), estão utilizando engenharia social, alterações de políticas e acesso ao gerenciamento de senhas para se infiltrar em ambientes de nuvem. Eles exploram as conexões entre o painel de controle da nuvem e os endpoints para se deslocar lateralmente, manter a permanência e exfiltrar dados.

 

“Há mais de uma década monitoramos atentamente os hacktivistas mais eficazes, o eCrime e os adversários estado-nação”, disse Adam Meyers, chefe de operações contra adversários da CrowdStrike. “Ao rastrear quase 250 adversários no ano passado, surgiu um tema central: os agentes de ameaças estão cada vez mais envolvidos em intrusões interativas e aplicando técnicas de domínio cruzado para dificultar a detecção e atingir seus objetivos. Nossa busca por ameaças é abrangente, liderada por humanos e fornece dados diretamente aos algoritmos que alimentam a plataforma Falcon, que é nativa de IA, garantindo que estejamos à frente das ameaças crescentes e continuemos a fornecer as soluções de segurança cibernética mais eficazes do setor”, concluiu.

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade no Google Cloud pode comprometer milhões de servidores, alerta Laboratório

Embora essa técnica de ataque seja conhecida há vários anos, a pesquisa da Tenable mostra uma alarmante falta de conscientização...
Security Report | Overview

“Como em toda a tecnologia, mau uso do deepfake é perigoso”, diz ex-CIO da Casa Branca

Theresa Payton, primeira mulher a assumir o cargo e especialista na defesa contra hackers, apontou como a tecnologia tem sido...
Security Report | Overview

Mascaramento de dados pode ajudar na proteção de dados e conformidade com LGPD?

O mascaramento de dados, que consiste em evitar ataques cibernéticos nas empresas ao substituir informações sensíveis por dados fictícios com...
Security Report | Overview

Agosto registrou mais de R$ 200 milhões em tentativas de fraude no e-commerce

Apesar da redução de 8,4% frente a 2023, o valor do ticket médio dos pedidos fraudulentos teve um aumento de...