No último trimestre, o ransomware não foi a ameaça mais dominante pela primeira vez desde que a Cisco Talos Incident Response (CTIR) começou a compilar esses relatórios e acredita que o ransomware em breve retornaria à sua posição de ameaça mais observada. Isso se provou correto, pois os casos de explodiram neste trimestre, abrangendo quase metade de todos os incidentes, ressaltando que continua sendo uma das principais ameaças voltadas para as empresas.
Embora o ransomware seja a principal ameaça, houve muito poucas observações sobre o uso de cavalos de Troia comuns neste trimestre. Os atores de ransomware continuaram a usar ferramentas comerciais como Cobalt Strike, ferramentas de código aberto, incluindo Rubeus, e ferramentas nativas na máquina da vítima (binários que vivem fora da terra, também conhecidos como “LoLBINs”), como PowerShell.
Este trimestre também demonstrou a continuação de uma tendência um tanto esperançosa: houve vários eventos pré-ransomware em que a detecção oportuna por meio de produtos Cisco Secure, junto com esforços de correção rápida do CTIR e da organização vítima, levou à contenção do incidente antes que a criptografia pudesse ocorrer.
A Cisco Talos, lançou na semana passada seu Relatório Trimestral de Análise de Ameaças de Segurança, referente a abril-maio-junho de 2021. A equipe analisou uma série de ciberataques nesses últimos meses e abaixo destacamos alguns destaques do material.
• Ransomware foi a ameaça número 1 identificada ao longo do trimestre, responsável por quase metade de todos os incidentes do período, mais que o triplo da segunda ameaça mais comum;
• Houve vários eventos pré-ransomware nos quais houve a contenção do incidente com a detecção e correção oportuna, antes mesmo que a criptografia pudesse ocorrer;
• Atores do ransomware usaram mecanismos como Cobalt Strike, recursos de código aberto e ferramentas nativas no dispositivo da vítima;
• O setor de Saúde foi o mais visado do período pelo terceiro trimestre consecutivo, sendo o setor Público (Governo) o segundo mais visado em ciberataques;
• Entre as principais razões pelas quais os atores de ransomware continuam a direcionar os ataques à área da Saúde, estão a continuidade da pandemia, o que incentiva as vítimas a pagarem os invasores e restaurarem os serviços em seus dispositivos o mais rápido possível;
• Entre outras ameaças observadas pelo relatório, estão a exploração de vulnerabilidades, a mineração de criptomoedas e o comprometimento de contas/dados. Curiosamente, ocorreram vários incidentes no trimestre envolvendo drives em USB, um vetor de ataque mais antigo, não visto há muitos anos.
