Em guerra com gangues de ransomware: um ano em análise
A Acronis foi a primeira empresa que começou a implementar proteção cibernética completa e integrada para proteger todos os dados, aplicativos e sistemas. A proteção cibernética exige a pesquisa e monitoramento de ameaças, bem como o cumprimento dos cinco vetores do “SAPAS”: segurança, acessibilidade, privacidade, autenticidade e segurança.
Como parte da estratégia, estabelecemos quatro Centros de Operações de Proteção Cibernética (CPOC) em todo o mundo para monitorar e pesquisar ameaças cibernéticas 24 horas por dia, 7 dias por semana.
O relatório apresentado representa uma perspectiva global e é baseado em mais de 650.000 endpoints exclusivos distribuídos em todo o mundo.
O foco principal aqui é nas ameaças para sistemas operacionais Windows, pois são muito mais prevalentes quando comparadas ao macOS. Veremos como a situação se desenvolve e podemos incluir dados sobre ameaças do macOS no próximo relatório, pois houve um aumento recente nessas ameaças.
Os cinco principais números do 2021:
- Os países mais atacados por malware no terceiro trimestre de 2021 foram EUA, Alemanha e Canadá.
- 376.000 URLs foram bloqueados no endpoint pela Acronis somente em outubro.
- Os emails de phishing bloqueados aumentaram 23% e os emails de malware bloqueados aumentaram 40% do segundo ao terceiro trimestre de 2021.
- Prevê-se que os danos causados pelo ransomware sejam de mais de 20 bilhões de dólares até o final de 2021 (Revista Cybercrime).
- Apenas 20% das empresas relataram que não foram atacadas – em comparação com 32% no ano passado, pois os ataques estão aumentando em frequência.
Entre as tendências de segurança cibernética que vimos no segundo semestre de 2021:
- O ransomware continua sendo a ameaça número um para grandes e médias empresas, incluindo governo, saúde e outras organizações críticas.
- MSPs estão sob ataque e questões de responsabilidade foram levantadas.
- As vulnerabilidades estão sendo amplamente exploradas.
- Linux e macOS têm recebido cada vez mais atenção dos cibercriminosos.
Principais ameaças cibernéticas e tendências de 2021
1.Ransomware está em alta de todos os tempos
O segundo semestre de 2021 foi rico em atividades de gangues de ransomware, e todo o setor ficou sobrecarregado com vários casos grandes.
Essas gangues de ransomware não eram apenas muito ativas, mas começaram a se tornar muito mais agressivas. Por exemplo, o grupo de ransomware Ragnar Locker anunciou que publicaria todos os dados roubados imediatamente se a vítima falar com a polícia ou envolver qualquer tipo de ajuda profissional.
Esses cibercriminosos afirmam que os negociadores profissionais de resgate pioram as coisas para a vítima. Se as vítimas ainda decidirem envolver esses negociadores de resgate, os atacantes estão confiantes de que descobrirão de uma forma ou de outra.
No ano passado, Ragnar Locker comprometeu a Campari e depois pagou por anúncios no Facebook para pressionar publicamente sua vítima a pagar um resgate de 15 milhões de dólares, ou então 2TB de seus dados roubados seriam publicados.
O FBI anunciou recentemente alguns números surpreendentes sobre a gangue de ransomware Ako ou ThunderX, também conhecida como Ranzy Locker, após uma recente mudança de marca.
De acordo com o FBI, a quadrilha foi responsável por comprometer 30 empresas dos EUA, em vários setores, no ano passado.
O alerta mostra que independentemente de sua empresa estar na construção, manufatura, academia, tecnologia da informação, transporte ou qualquer outro setor, todos estão em risco.
A gangue usa força bruta contra credenciais RDP e explorações do Microsoft Exchange para obter acesso à infraestrutura de suas vítimas.
2. Phishing e emails maliciosos continuam sendo o principal vetor de infecção
Os CPOCs da Acronis bloquearam 376.000 URLs maliciosos e de phishing em outubro de 2021. Isso constitui um pico enorme em relação ao terceiro trimestre inferior, com uma média de 58.000 por mês.
Infelizmente, muitos e-mails com conteúdo malicioso, especialmente URLs, ainda passam por filtros básicos de e-mail e acabam no terminal do usuário.
Também vimos invasores incorporando códigos QR a URLs maliciosos em e-mails de phishing. Muitas soluções de segurança ainda não conseguem lidar com códigos QR, mas os usuários finais estão condicionados a usar seus smartphones para seguir os links. Esta é outra razão pela qual é importante ter uma abordagem de defesa em várias camadas.
Um estudo recente do Acronis Cyber Readiness Report 2021 mostrou que os administradores de TI classificaram o phishing como a principal ameaça, com 58% dos entrevistados dizendo que receberam esses ataques. Ainda assim, apenas 20% deles priorizaram soluções de filtragem de URL para sua pilha de segurança de TI.
Além disso, um estudo recente do Ponemon Institute revelou algumas estatísticas alarmantes sobre os custos dos ataques de phishing.
O estudo analisa todos os custos associados a esses ataques, incluindo recuperação e perda de produtividade – que na verdade custam mais do que os pagamentos feitos aos cibercriminosos.
O custo de um ataque de phishing aumentou acentuadamente nos últimos seis anos – agora custando às grandes empresas americanas 14,8 milhões de dólares por ano, o que equivale a cerca de 1.500 dólares por funcionário.
Em comparação, em 2015, esse valor era de 3,8 milhões dólares por ano. Isso significa que, em apenas seis anos, o custo dos ataques de phishing quase quadruplicou.
Durante 2020, os custos dos ataques de comprometimento de e-mail comercial (BEC) aumentaram significativamente, com mais de 1,8 bilhão de dólares roubados de organizações norte-americanas ao se passar por funcionários, parceiros ou fornecedores, entre outras táticas comuns.
3. Linux e macOS sob ataque
Já mencionamos alguns ransomwares para Linux, mas essa não é a única ameaça emergente para esse sistema operacional.
Os bandidos têm prestado cada vez mais atenção ao Linux, pois existem dezenas de milhões de máquinas conectadas à Internet – principalmente servidores – o que fornece motivação mais do que suficiente para desenvolver novos malwares.
Além do ransomware, os cibercriminosos estão se concentrando em criptomineradores, trojans e malwares mais sofisticados, como rootkits.
Ameaças gerais de malware
No terceiro trimestre de 2021, uma média de 13,6% dos clientes da Acronis tiveram pelo menos um ataque de malware bloqueado com sucesso em seus endpoints.
Os números quase dobraram em outubro para 25,3%, indicando um aumento no quarto trimestre. Essas altas porcentagens mostram que muitas ameaças ainda chegam ao endpoint, apesar do treinamento de conscientização e correção realizado pelas organizações.
Um estudo recente da Acronis para nosso Relatório de prontidão cibernética 2021 mostrou que 37% dos administradores de TI que responderam reconheceram ter encontrado ataques de malware no ano passado – classificando os ataques de malware em terceiro lugar atrás dos ataques de phishing e DDoS.
O resultado da pesquisa é surpreendente porque, embora o número tenha crescido de 22% no ano passado para 37%, ainda parece baixo e sugere que as empresas têm uma filtragem muito boa — como filtragem de e-mail — para manter a maioria dos malwares fora; ou, mais provavelmente, eles estão perdendo visibilidade total sobre todos os ataques.
O número de novas amostras de malware que aparecem à solta diminuiu ligeiramente em 2021. Por exemplo, o laboratório independente de testes de malware AV-Test registrou mais de 600.000 novas amostras de malware por dia no primeiro trimestre de 2021, mas no segundo trimestre isso diminuiu 17% para 507.000 por dia.
E no terceiro trimestre, o número diminuiu outros 28% para 363.000 por dia. Essas reduções podem ser o resultado de alguns grupos mudando para uma implantação um pouco mais direcionada ou as prisões de grupos de malware de e-mail ativos, como o Emotet – embora o Emotet tenha voltado em novembro e provavelmente aumentará os números do quarto trimestre.
O país com mais clientes com detecções de malware no terceiro trimestre de 2021 foram os Estados Unidos com 27,2%, seguidos pela Alemanha com 11,5% e Canadá com 5,9%, números muito semelhantes aos do segundo trimestre.
Detecções diárias de ransomware
O número de incidentes de ransomware diminuiu ligeiramente no terceiro trimestre, após uma alta durante os meses de verão.
De julho a agosto, tivemos um aumento de 32,7% dos ataques de ransomware bloqueados em todo o mundo, seguido por uma queda de 7% em setembro e 16% em outubro.
As razões por trás de tais flutuações podem ser múltiplas. Por um lado, houve algumas prisões e mais pressão das autoridades contra grupos de ransomware.
Mas, por outro lado, alguns ataques estão sendo bloqueados mais cedo na cadeia; por exemplo, na atração de e-mail ou no URL malicioso, para que o ransomware final nunca seja baixado e, portanto, não possa ser contado neste gráfico.
Websites maliciosos
Uma média de 1,9% dos endpoints tentou acessar alguns URLs maliciosos no terceiro trimestre de 2021, um pouco acima dos 1,8% no segundo trimestre.
Em outubro, observamos um aumento para 4,3%, que está relacionado ao aumento que vimos nos e-mails de phishing chegando às caixas de entrada dos usuários.
A maior porcentagem de URLs maliciosos bloqueados no terceiro trimestre de 2021 foi de 26,8% nos Estados Unidos, seguido por 20% na Alemanha e 8,7% no Canadá — com 65% desses URLs bloqueados criptografados por HTTPS, tornando-os mais difíceis de analisar e filtrar na rede.
Observamos mais grupos prestando atenção aos sites solicitantes do agente do usuário do navegador. As ferramentas de varredura automatizadas que não imitam os usuários normais são servidas a sites de isca limpos em vez de uma carga útil real.
Um destino semelhante ocorre com soluções que substituem argumentos de URL – como endereços de e-mail – por motivos de privacidade quando são passados para o site.
Alguns kits têm uma soma de verificação que pode detectar essa alteração e veicular um site benigno.
Houve também um pequeno aumento na tática conhecida de golpes de isca e troca, onde a URL em um e-mail aponta para um site inicialmente limpo, que algumas horas depois é trocado para a carga maliciosa final, na esperança de que qualquer scanner de e-mail já marcou o link como não malicioso.
Vulnerabilidades no sistema operacional e software Windows
Como as vulnerabilidades são um dos principais portões para penetrar nos sistemas, elas são constantemente pesquisadas, usadas e eventualmente corrigidas (infelizmente nem sempre com sucesso e definitivamente não a tempo).
O segundo semestre de 2021 não trouxe nada de inovador nesse sentido, mas confirmou o fato alarmante de que cada vez mais vulnerabilidades críticas estão sendo descobertas e exploradas por cibercriminosos.
O número de patches lançados por fornecedores de software continua a ser medido em dezenas — se não centenas — para cada mês que analisamos completamente de julho a outubro.
Por exemplo, só em novembro, a Microsoft lançou patches para 55 novos CVEs no Microsoft Windows e Windows Components Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge, Exchange Server, Microsoft Office e Office Components, Windows Hyper-V, Windows Defender e Visual Studio .
Seis entre eles são classificados como críticos e 49 são classificados como importantes em gravidade. Duas vulnerabilidades estão listadas como sob exploração ativa no momento do lançamento.
Os agentes de ameaças estão constantemente explorando vulnerabilidades e zero-days, por isso é importante manter-se atualizado sobre os patches. O Acronis Cyber Protect tornou isso simples com sua solução de gerenciamento de patches, que permite a atualização rápida e fácil.
Previsão de segurança para 2022
À medida que a pandemia do COVID-19 se espalhava, todos tiveram que se adaptar a uma rotina muito diferente e cheia de desafios para os quais poucos estavam preparados.
Isso mudou completamente o cenário de segurança em 2021. Aqui estão as principais tendências que provavelmente definirão o cenário de segurança cibernética em 2022.
1. Ransomware continua a crescer e evoluir apesar dos esforços dos EUA e da Interpol/Europol
O ransomware é um dos ataques cibernéticos mais lucrativos do momento. Apesar de algumas prisões recentes, não há fim à vista.
O ransomware se expandirá ainda mais para macOS e Linux, bem como para novos ambientes, como sistemas virtuais, nuvem e OT/IoT.
Qualquer coisa que esteja conectada a uma rede alcançável é um alvo em potencial. Isso levará cada vez mais a consequências e impactos no mundo real e, portanto, também a mais demanda por regulamentações e sanções oficiais.
Roubar dados para dupla extorsão, bem como desabilitar ferramentas de segurança, será a norma; mas também se tornará mais pessoal com ameaças internas e dados pessoais.
2. A criptomoeda se tornará a favorita dos invasores
Com o preço do Bitcoin em alta, os ataques estão aumentando com os agentes de ameaças seguindo os lucros. Os usuários finais têm lutado com ataques de phishing, infostealers e malware que trocam endereços de carteira na memória há algum tempo.
Esperamos ver mais desses ataques realizados diretamente contra contratos inteligentes – atacando os programas no coração das criptomoedas.
Também esperamos que ataques contra aplicativos da Web 3.0 ocorram com mais frequência em 2022.
Esses novos mercados abrem novas oportunidades para ataques sofisticados (por exemplo, ataque de empréstimo em flash), que podem permitir que invasores drenem milhões de dólares de pools de liquidez de criptomoedas.
3. O phishing continuará sendo o principal vetor de infecção
E-mails maliciosos e phishing em todas as variações ainda estão em alta. Apesar das constantes campanhas de conscientização, os usuários ainda caem neles e permitem que o invasor comprometa sua organização.
Não esperamos que a IA assuma totalmente os e-mails de phishing em 2022, mas esperamos maior automação e informações personalizadas com essas várias violações de dados, tornando-as mais eficazes.
Novos truques contra OAuth e MFA continuarão a gerar lucro para os invasores, permitindo que eles assumam contas, apesar dos planos de empresas como o Google de inscrever automaticamente 150 milhões de usuários no 2FA.
Para contornar ferramentas anti-phishing comuns, ataques como comprometimento de email comercial (BEC) usarão serviços de mensagens alternativas, como mensagens de texto, Slack ou bate-papo do Teams.
Isso anda de mãos dadas com o sequestro de serviços legítimos de distribuição de e-mail, como por exemplo em novembro, quando o próprio serviço de e-mail do FBI foi comprometido e começou a enviar e-mails de spam.
4. Os MSPs serão direcionados por meio das ferramentas que usam
Os invasores estão perseguindo as conexões confiáveis que lhes permitem obter acesso às redes da empresa.
Os ataques à cadeia de suprimentos de software são um desses métodos, mas mesmo sem o comprometimento total de um fornecedor, existem maneiras semelhantes de entrar.
Os invasores estão perseguindo ferramentas de gerenciamento usadas pelos administradores, como software de automação de serviços profissionais (PSA) ou monitoramento remoto e ferramentas de gestão (RMM). Eles são as chaves do reino, e os cibercriminosos os usarão contra você.
Os provedores de serviços, em particular, serão visados com mais frequência, pois geralmente possuem muitas ferramentas de automação para o lançamento eficiente de novos softwares.
Infelizmente, isso agora está sendo feito pelos invasores para distribuir malware. Isso pode ocorrer em conjunto ou em paralelo com ataques à cadeia de suprimentos em nível de código-fonte. Esperamos mais e mais ataques quando o código-fonte de aplicativos ou bibliotecas usados são modificados com intenção maliciosa.
5. A confiança será comprometida em nível de nuvem: ataques de API
Os serviços em nuvem estão crescendo, assim como a computação sem servidor, computação de borda e serviços de API.
Em combinação com orquestrações de contêineres como o Kubernetes, os processos podem ser automatizados de forma eficiente e adaptados dinamicamente a várias circunstâncias.
Os invasores estão tentando interromper essa hiperautomação indo atrás dessas APIs, que podem afetar seriamente os processos de negócios de uma empresa.
6. Violações de dados para todos
Apesar do aumento das regulamentações de privacidade de dados, o número de violações de dados relatadas também continuará aumentando.
Isso não ocorre apenas porque eles precisam ser relatados, mas por causa das interações complexas e dos sistemas de TI.
Muitas empresas perderam a visão geral de onde estão todos os seus dados e como eles podem ser acessados.
E a troca automatizada de dados de dispositivos IoT e comunicações M2M aumenta ainda mais a disseminação de dados. Infelizmente, esperamos ver muitas violações de dados em grande escala em 2022.
Esses vazamentos de dados permitirão que os invasores enriqueçam facilmente seus perfis de destino.
7. Ataques adversários em IA
Como a IA é usada com mais frequência para detectar anomalias em sistemas de TI e configurar e proteger automaticamente quaisquer ativos valiosos neles, é compreensível que os invasores cada vez mais tentem atacar a lógica dentro do modelo de IA.
Ser bem-sucedido em reverter as decisões dentro do modelo de IA pode permitir que um invasor permaneça indetectável ou gere um ataque de negação de serviço com um estado indesejado.
Também pode permitir que eles identifiquem problemas de tempo, enquanto mudanças lentas não são vistas como anomalias e, portanto, não são bloqueadas.
8. Unificação de produtos de segurança: um paradigma de fornecedor
Para estar melhor preparado para todas essas ameaças mencionadas acima, as empresas devem favorecer os fornecedores de segurança que fornecem uma cobertura de segurança mais ampla em um produto ou guarda-chuva de produtos.
Isso ajuda a minimizar os ataques à cadeia de suprimentos e permite uma reação e recuperação mais rápidas, que são cruciais para manter os negócios em funcionamento.
Os cibercriminosos são orientados pelo lucro e tentarão maximizar seus ganhos automatizando seus negócios e atacando empresas onde estão mais expostos.
Eles perseguem agressivamente cada oportunidade que podem encontrar e, portanto, é fundamental ter autenticação forte com MFA, correção oportuna de vulnerabilidades e visibilidade em toda a infraestrutura.
Proteja-se em 2022
Infelizmente, as empresas ainda estão lutando para proteger efetivamente todas as suas cargas de trabalho em todo o complexo ecossistema de nuvem, escritório e home office.
Fazer isso requer soluções eficientes que integrem segurança cibernética com proteção de dados, bem como gerenciamento e monitoramento de endpoints.
Essa abordagem holística da proteção cibernética permite uma resposta automatizada contra a enxurrada de ameaças cibernéticas
Recomendações da Acronis para se manter seguro no ambiente de ameaças atual e futuro
Ataques cibernéticos modernos, vazamentos de dados e surtos de ransomware revelaram a mesma coisa: a segurança cibernética está falhando.
Essa falha é o resultado de tecnologias fracas e erros humanos causados por engenharia social inteligente. Nos casos em que uma solução de backup estava funcionando bem e não foi comprometida, normalmente levaria horas e dias para restaurar os sistemas (com dados) para um estado operacional.
O backup é essencial para quando as soluções de segurança cibernética falham, mas, ao mesmo tempo, as soluções de backup podem ser comprometidas, desativadas e ter um desempenho lento, fazendo com que as empresas percam muito dinheiro devido ao tempo de inatividade.
Para resolver esses problemas, recomendamos uma solução integrada de proteção cibernética como o Acronis Cyber Protect, que combina recursos antimalware, EDR, DLP, segurança de e-mail, avaliação de vulnerabilidades, gerenciamento de patches, RMM e backup em um único agente executado em uma família de sistemas operacionais Windows. sistemas.
Essa integração permite manter o desempenho ideal, eliminar problemas de compatibilidade e garantir uma recuperação rápida.
Se uma ameaça for perdida ou detectada enquanto seus dados estiverem sendo alterados, os dados serão restaurados de um backup imediatamente – por causa de seu único agente, ele sabe que os dados foram perdidos e precisam ser restaurados.
Isso não é possível com um agente antimalware separado de um produto de backup com seu próprio agente. Sua solução antimalware pode interromper a ameaça, mas alguns dados já podem ser perdidos. Um agente de backup não saberá disso automaticamente e, na melhor das hipóteses, os dados serão restaurados lentamente — se for o caso.
Obviamente, o Acronis Cyber Protect Cloud se esforça para tornar as recuperações de dados desnecessárias, detectando e eliminando ameaças antes que elas possam danificar seu ambiente. Isso é alcançado com nossa funcionalidade de segurança cibernética aprimorada e em várias camadas.