O ano que passou foi caracterizado por riscos globais de pressões, mudanças climáticas, conflitos políticos e desafios da cadeia de suprimentos industrial. Os cyber criminosos usaram essa turbulência para explorar esses tópicos, incluindo grandes eventos, relações públicas, causas sociais e onde mais surja uma oportunidade.
Em 2023 esses desafios continuarão, especialmente porque atores continuam a tirar proveito do caos causado pela pelo conflito na Ucrânia. Para ajudar a preparar a comunidade de defensores de ameaças que estão por vir, abaixo previsões de ameaças cibernéticas são baseadas em observações importantes feitas pela equipe de pesquisa da ThreatLabz.
ThreatLabz é composta por mais de 125 especialistas em segurança com décadas de experiência no rastreamento de agentes de ameaças, engenharia reversa de malware, análise de comportamento e ciência de dados, a equipe ThreatLabz opera 24 horas por dia, 7 dias por semana, para identificar e prevenir ameaças emergentes usando insights de 300 trilhões de sinais diários do Zero Trust Exchange. Confira abaixo as 13 principais previsões de ameaças cibernéticas para 2023:
1. Ataques serão mais difíceis de identificar em 2023
O que nós sabemos:
O RaaS e Crime-as-a-Service permitem que criminosos cibernéticos novatos lancem ataques altamente sofisticados, com criptografia SSL, ataques BitB indetectáveis, modelos de phishing gramaticalmente perfeitos, ransomware personalizável e perfis de alvo detalhados.
Por outro lado, o grupo de ameaças Lapsu$ nos mostrou os impactos da exfiltração de dados confidenciais por meio do comprometimento do fornecedor e das técnicas de ataque smash and grab.
As ameaças estão se tornando mais frequentes e difíceis de capturar com o tempo de permanência reduzido entre o comprometimento e o ataque final.
2. Uso crescente de ofertas de CaaS
O crime como serviço (CaaS) abrange toda a gama de ofertas de serviços de ameaças cibernéticas. À medida que os agentes de ameaças buscam aumentar os pagamentos, eles aproveitarão mais ofertas de modelos de serviço para escalar suas operações mais rapidamente. O que nós sabemos:
Ransomware-as-a-Service (RaaS) surgiu em 2016 para fornecer suporte operacional para cyber criminosos como um modelo de negócio.
RaaS tornou-se incrivelmente popular e impulsiona a maior parte dos ataques modernos de ransomware, sendo 8 das 11 principais famílias de ransomware utilizando ecossistemas RaaS.
3. Mude para alvos mais fáceis
Modelos de ameaças em evolução em todo o cenário levam a alvos atualizados à medida que os agentes de ameaças buscam reduzir custos irrecuperáveis e aumentar lucros. O que nós sabemos:
Os modelos de ransomware são atualizados continuamente para evitar a detecção e melhorar a eficácia.
Mais invasores estão usando RaaS pré-construídas, e perfis de empresas foram colocados à venda na dark web.
Hackers usando Ransomware desejam manter os custos baixos e empresas menores são alvos mais facies de atacar.
4. Ataques à cadeia de suprimentos aumentarão
Os ataques à cadeia de suprimentos ocorrem quando os adversários comprometem os ecossistemas de parceiros e fornecedores para atingir seu objetivo e objetivo final. Comprometer fornecedores menores é mais fácil, e levam a ataques upstream bem-sucedidos, e é por isso que o uso dessa tática aumentará no futuro. O que nós sabemos:
Toda organização tem uma de cadeia de suprimentos e fornecedores podem ter acesso a ferramentas e informações críticas.
Descobrir correlações na cadeia de suprimentos é relativamente fácil para os invasores, e pode acontecer por acaso durante um ataque.
Os pontos fracos na cadeia de suprimentos são difíceis de descobrir e podem aumentar o risco de um ataque cibernético para organizações mais seguras.
5. Mais distribuição de malware por meio de ataques de phishing
Hackers usando kits de phishing procuram colher grandes retornos de seus investimentos, e normalmente investem tempo e esforço significativos na escolha de alvos ideais, obtendo informações sobre sua capacidade de pagamento e outras informações que podem ser usadas para ataques malware, isso é benéfico para gangues de ransomware e suas afiliadas. O que nós sabemos:
CaaS torna acessível a oportunidade de realizar um ataque, mesmo para atores com baixa habilidade técnica, e estes podem usar métodos sofisticados de phishing, stealers, deploying malware, e até ataques ransomware.
A confiança no e-mail comercial para trocar arquivos e concluir transações comerciais e outras tarefas necessárias, o tornam o principal alvo para na entrega de malware a usuários desavisados.
Os serviços em nuvem facilitam a entrega de malware, pois os usuários tendem a dar mais confiança implícita a plataformas em nuvem, como o Google.
6. Dwell time continuará a diminuir
O período de tempo entre o comprometimento inicial e o estágio de ameaça final, como ransomware, é implantada no ambiente da vítima diminuirá. Para a maioria das organizações, esse também é o período de tempo em que um ataque pode ser detectado e interrompido pelos defensores antes de causar danos. O que nós sabemos:
O tempo médio de permanência para incidentes de ransomware é de cinco dias, de acordo com o relatório M-Trends de 2021 da Mandiant.
A velocidade é a chave para garantir que um ataque aconteça e aumente as chances de obter um pagamento. O tempo de permanência do ransomware está diminuindo e os tempos de espera por pagamentos estão mais curtos, tornam mais difícil para os defensores.
7. Hackers continuarão com o rebranding
Famílias de malware, gangues de ransomware e outras associações cyber criminosas se reorganizam com frequência e podem optar por mudar de marca devido a afiliações de novos membros para evitar acusações criminais e garantir pagamentos cibernéticos seguros. O que nós sabemos:
As agências federais estão melhorando o rastreamento de pagamentos de ransomware e na identificação dos agentes das ameaças e afiliados.
Agentes se renomeiam para evitar condenações criminais e impedir os esforços de rastreamento ou identificação por parte do governo e aplicação da lei.
Criminosos estão aprendendo sobre seguros cibernéticos para garantir pagamentos, incluindo informações das franquias, prêmios, cobertura de pagamento e outros detalhes para personalizar a extorsão.
Apólices de seguro cibernético declaram que não pagarão pelo mesmo tipo de ataque cibernético mais de uma vez por vítima, então algumas famílias podem optar por mudar a marca para garantir que possam receber um pagamento inicial ou pagamentos futuros das vítimas.
8. Exploits continuarão a causar danos
Vulnerabilidades importantes foram descobertas no ano passado (por exemplo, Log4j, PrintNightmare, ProxyShell/ProxyLogon) com as quais as organizações lidarão nos próximos anos. O que nós sabemos:
Continuarão a procurar e explorar software e servidores desatualizados para burlar os controles de segurança.
Novas vulnerabilidades e explorações continuarão a ser um problema para os defensores.
Agentes aguardam por um Zero-Day para lançar ataques, enquanto organizações tentam recuperar o atraso e corrigir seus sistemas vulneráveis.
9. Wipers serão usados em conflitos políticos
Wipers são uma maneira eficaz de interromper serviços críticos, normalmente lançados contra sites, sistemas, infraestrutura e outros recursos importantes do governo e que causarão graves danos operacionais uma nação ou organização visada. O que nós sabemos:
No conflito geopolítico em andamento, ataques russos contra a Ucrânia incluem Wipers disfarçados de ransomware.
Disfarçar Wipers de ransomware dão aos agentes de ameaças de estado-nação uma camada de negação, permitindo que apontem o dedo para motivos financeiros e políticos.
10. Endpoint Protection não será suficiente
Aumentarão o uso de táticas para ignorar antivírus e outros controles de segurança de endpoint.
Os ataques se concentrarão cada vez mais nas principais tecnologias de serviços de negócios, por ex. Vmware ESX.
Organizações terão uma necessidade maior de defesa, em vez de depender apenas da segurança do endpoint para prevenir e detectar invasões.
Para contornar firewalls e outras tecnologias de segurança legadas, adversários tem criptografado dados antes de transferi-los para fora do ambiente alvo.
11. A extorsão de dados aumentará
Se vítimas estiverem dispostas a pagar para evitar que seus dados confidenciais vazem, os agentes de ameaças de ransomware não precisam criptografar os dados. Ataques de extorsão de dados sem criptografia já foram observados no cenário de ameaças.
Ataques de resgate de dados sem criptografia, não têm tempo mínimo de recuperação, caso a vítima pague o resgate antes de que os dados vazem. Isso é visto como preferencial para invasores e vítimas que pagam e não precisam passar por todo o processo de recuperação.
Essa tendência reduz o número de etapas na sequência de ataque para detectar e interromper essas ameaças.
12. O código-fonte vazado levará a bifurcações
Novas versões de malware e outras ameaças tornam mais difícil para os defensores detectar, porque há muitas variantes usando técnicas personalizadas para implantar o mesmo ataque e as variantes continuarão a evoluir em velocidades diferentes. O que nós sabemos:
O código-fonte do malware pode ser vazado por grupos rivais, pesquisadores, defensores ou qualquer pessoa interessada e, quando o código-fonte vaza, fica mais fácil para os defensores criar regras de detecção e implementar outras medidas de segurança para interromper a implantação dessas ameaças, mas também cria variantes.
Desenvolvedores de malware adicionarão mais obfuscation para impedir engenharia reversa e ignorar a detecção de assinatura estática, incorporando técnicas avançadas, incluindo control flow flattening, polymorphic string obfuscation, e virtual machine-based packers.
13. Os serviços de ransomware mudarão
Ransom payment são essenciais para que os agentes de ameaças sejam pagos, portanto continuarão a melhorar.
Multi extortion attacks são uma resposta às organizações que se tornaram realmente boas em backup e recuperação de dados.
A recuperação de ransomware através de chaves de descriptografia podem demorar mais do que a recuperação de soluções fortes de backup de dados;
Ransom decryption services estão se tornando menos críticos à medida que os agentes de ameaças encontram melhores maneiras de receber o pagamento. Como resultado, investem menos recursos em desenvolvimento, mas dificultam a recuperação por meio de descriptografia.
A preferência é Bitcoin, mas podem mudar para outras criptomoedas à medida agencias e governos reprimirem, rastrearem e recuperarem mais resgates.
Repensando na sua estratégia de segurança para 2023?
É preocupante que algumas organizações estejam começando a aceitar a noção perigosa de que ser atingido por ameaças, incluindo ransomware, é o novo normal. Esse tipo de ampla aceitação, geralmente leva a uma abordagem falha de segurança e à falta de investimento para evitar ataques e práticas perigosas do setor, como aceitar o risco de pagar o resgate porque pode ser mais barato na primeira vez. Em outro exemplo, algumas empresas usam determinados sistemas, como VMs com backup, como honeypots para atrair invasores e, quando veem atividade de ameaça nesses sistemas, basta excluir e restaurar. Ambos os exemplos são remediações para um problema mais complexo que requer uma estratégia de segurança de Zero Trust completa abrangendo pessoas, processos e infraestrutura necessárias para adaptação de ameaças.
Para ajudar organizações a superar os desafios de segurança iminentes de 2023, Zero Trust oferece uma arquitetura que ajuda a interromper os ataques das seguintes maneiras:
Evita comprometimento: inspeção SSL completa em escala, isolamento do navegador e controle de acesso orientado por políticas para impedir o acesso a sites suspeitos.
Elimina o movimento lateral: conecte os usuários diretamente aos aplicativos, não à rede, para limitar o raio de explosão de um possível incidente.
Desliga usuários comprometidos e ameaças internas: se um invasor obtiver acesso ao seu sistema de identidade, podemos impedir tentativas de exploração de aplicativos privados com inspeção em linha e detectar os invasores mais sofisticados com decepção integrada.
Interrompe a perda de dados: inspeciona os dados em movimento e os dados em repouso para evitar o possível roubo de dados de um invasor ativo.
Saiba mais sobre a proteção contra ameaças cibernéticas para 2023!
Fale conosco: faleconosco@ztrust.com.br
Comments