A HP Inc. (NYSE: HPQ) publica seu mais recente Threat Insights Report, relatório global que apresenta uma análise de ataques e vulnerabilidades de segurança cibernética no mundo real. A pesquisa mostra um aumento substancial na frequência e na sofisticação dos crimes cibernéticos, incluindo uma alta de 65% no uso de ferramentas de hackeamento baixadas em fóruns clandestinos e sites de compartilhamento de arquivos entre o segundo semestre de 2020 e o primeiro semestre de 2021.
Os pesquisadores perceberam que ferramentas de hackeamento de ampla circulação eram surpreendentemente hábeis. Por exemplo, uma delas consegue solucionar desafios de CAPTCHA usando técnicas de visão computacional, especificamente o reconhecimento óptico de caracteres (OCR, na sigla em inglês), a fim de perpetrar ataques de preenchimento de credenciais contra websites. Em termos mais amplos, o estudo descobriu que o crime cibernético está mais organizado do que nunca, com fóruns clandestinos dando uma plataforma perfeita para criminosos colaborarem e compartilharem táticas, técnicas e procedimentos de ataque.
"A proliferação de ferramentas de hackeamento pirateadas e fóruns clandestinos estão permitindo que agentes antes pouco gabaritados se tornem sérios riscos à segurança de organizações", afirma Dr. Ian Pratt, chefe global de Segurança de Sistemas Pessoais da HP Inc. "Simultaneamente, os usuários continuam caindo repetidamente em ataques simples de phishing. Soluções de segurança que municiem os departamentos de TI para que eles estejam à frente de futuras ameaças são a chave para maximizar a proteção e a resiliência das empresas", completa Pratt.
Entre as ameaças isoladas destacadas pela HP Wolf Security, estão:
- A colaboração cibercriminosa está abrindo caminho para ataques maiores contra as vítimas: afiliados do Dridex estão vendendo seu acesso a organizações violadas para outros agentes de ameaças distribuírem ransomware. A queda nas ações com Emotet no primeiro trimestre de 2021 fez o Dridex se tornar a principal família de malware isolada pela HP Wolf Security.
- Ladrões de informações disseminam malware mais nocivo: o malware CryptBot - historicamente usado como infostealer para extrair credenciais de carteiras de criptomoeda e navegadores de internet - também está sendo usado para implantar o DanaBot - um trojan bancário operado por grupos do crime organizado.
- Campanha com downloader VBS mira executivos de empresas: uma campanha multifásica de Visual Basic Script (VBS) está compartilhando anexos maliciosos zipados com o nome do executivo-alvo. Um downloader VBS oculto é implantado antes de serem usadas ferramentas legítimas do SysAdmin e passa a correr solto, persistindo nos dispositivos e implantando malware.
- Da aplicação à infiltração: uma campanha de spam cujo assunto é currículo mirou empresas de frete, transporte marítimo, logística e áreas afins em sete países (Chile, Japão, Reino Unido, Paquistão, EUA, Itália e Filipinas), explorando uma vulnerabilidade do Microsoft Office para implantar o Remcos RAT comercialmente disponível e obter acesso ilícito a computadores infectados.
As descobertas baseiam-se em dados da HP Wolf Security, que rastreia malware dentro de máquinas microvirtuais isoladas para entender e capturar uma cadeia completa de infecção, ajudando a mitigar ameaças. Ao compreender melhor o comportamento de programas maliciosos à solta, os pesquisadores e engenheiros da HP Wolf Security conseguem reforçar as proteções de endpoint e aumentar a resiliência do sistema como um todo.
"O ecossistema do crime cibernético continua se desenvolvendo e se transformando, com mais oportunidades para pequenos cibercriminosos se conectarem a agentes maiores no âmbito do crime organizado, baixando ferramentas avançadas que podem driblar defesas e violar sistemas", observa Alex Holland, analista sênior de malware da HP Inc. "Estamos vendo hackers adaptarem suas técnicas para gerar mais monetização, vendendo acesso a grupos do crime organizado para que estes possam lançar ataques mais sofisticados contra as organizações. Cepas de malware como o CryptBot antes podiam ser um perigo para usuários que guardam carteiras de criptomoeda em seus PCs, mas agora representam uma ameaça para as empresas. Vemos infostealers distribuindo malware operado por grupos do crime organizado - que tendem a preferir o ransomware para monetizar seu acesso".
Outros resultados importantes apresentados no relatório incluem:
- 75% do malware detectado foi entregue via e-mail, enquanto downloads na web foram responsáveis pelos outros 25%. Ameaças baixadas por meio de navegadores de internet aumentaram 24%, em parte porque os usuários fizeram download de ferramentas de hackeamento e software de mineração de criptomoedas.
- As armadilhas de phishing por e-mail mais comuns foram notas fiscais e transações comerciais (49%), enquanto 15% eram respostas a mensagens de e-mail interceptadas. Iscas de phishing que mencionavam a covid-19 representaram menos de 1%, uma queda de 77% entre o segundo semestre de 2020 e o primeiro semestre de 2021.
- Os tipos mais comuns de anexo malicioso foram arquivos (29%), planilhas (23%), documentos (19%) e arquivos executáveis (19%). Tipos de arquivos incomuns - tais como JAR (arquivos Java) - estão sendo usados para evitar ferramentas de detecção e escaneamento e instalar tipos de malware facilmente obtidos em mercados clandestinos.
- O estudo descobriu que 34% do malware capturado era desconhecido1, uma queda de 4% em relação ao segundo semestre de 2020.
- Houve aumento de 24% nos tipos de malware que exploram CVE-2017-11882, uma vulnerabilidade de corrupção de memória comumente usada para explorar o Microsoft Office ou o Microsoft WordPad a fim de realizar ataques sem arquivos.
"Os criminosos cibernéticos estão driblando facilmente as ferramentas de detecção ao simplesmente ajustar suas técnicas. Vimos um surto de malware distribuído via arquivos incomuns, como os arquivos JAR - provavelmente usados para reduzir as chances de detecção por escâneres antimalware", comenta Holland. "Os velhos truques de phishing estão fisgando vítimas, com iscas que usam assuntos de transações para convencer os usuários a clicar em anexos, links e páginas maliciosos".
"Com o crime cibernético tornando-se mais organizado e agentes menores tendo facilidade para obter ferramentas efetivas e monetizar os ataques ao vender acesso, violação leve é algo que não existe", conclui Pratt. "O endpoint continua sendo um foco enorme dos cibercriminosos. Suas técnicas estão ficando mais sofisticadas, então é mais importante do que nunca ter uma infraestrutura de endpoint e defesa cibernética que seja abrangente e resiliente. Isso significa utilizar recursos como a contenção de ameaças para se proteger contra os invasores modernos, minimizando a superfície de ataque com a eliminação de ameaças vindas dos vetores mais comuns de ataque - e-mail, navegadores e downloads".
*Estes dados foram coletados a partir de máquinas virtuais de clientes da HP Wolf Security entre janeiro e junho de 2021.
Foto: Divulgação.