Previsões avançadas de ameaças para 2021
Tentar fazer previsões sobre o futuro é um negócio complicado. No entanto, embora não tenhamos uma bola de cristal que possa revelar o futuro, podemos tentar fazer suposições fundamentadas usando as tendências que observamos nos últimos 12 meses para identificar áreas que os invasores provavelmente tentarão explorar em breve futuro.
Vamos começar refletindo sobre nossas previsões para 2020 .
- O próximo nível de ataques de bandeira falsa
Este ano, não vimos nada tão dramático quanto o forjamento de um módulo malicioso para fazer com que pareça o trabalho de outro ator de ameaça, como foi o caso do Destroyer Olímpico . No entanto, o uso de sinalizadores falsos sem dúvida se tornou um método estabelecido usado por grupos APT para tentar desviar a atenção de suas atividades. Exemplos notáveis neste ano incluem as campanhas de MontysThree e DeathStalker . Curiosamente, no caso DeathStalker, o ator incorporou metadados de certificado do infame Sofacy em sua infraestrutura, trocando disfarce pela chance de ter sua operação falsamente atribuída. - De ransomware para ransomware direcionado
No ano passado, destacamos a mudança para o ransomware direcionado e previmos que os invasores usariam métodos mais agressivos para extorquir dinheiro de suas vítimas. Este ano, dificilmente se passou uma semana sem notícias de uma tentativa de extorquir dinheiro de grandes organizações, incluindo ataques recentes a vários hospitais dos EUA . Também vimos o surgimento de ‘corretores’ que se oferecem para negociar com os invasores , para tentar reduzir o custo da taxa de resgate. Alguns invasores parecem aplicar mais pressão roubando dados antes de criptografá-los e ameaçar publicá-los; e em um incidente recente, afetando uma grande prática de psicoterapia, os agressores postaram dados confidenciais dos pacientes . - Novos vetores de ataque a bancos online e pagamentos
Não vimos nenhum ataque dramático aos sistemas de pagamento este ano. No entanto, as instituições financeiras continuam a ser alvo de grupos especializados em crimes cibernéticos, como FIN7, CobaltGroup, Silence e Magecart, bem como agentes de ameaças APT, como Lazarus. - Mais ataques de infra-estrutura e ataques contra alvos não-PC. Os
agentes de ameaça da APT não limitaram suas atividades ao Windows, conforme ilustrado pela extensão da estrutura MATA do Lazarus, o desenvolvimento do backdoor Penquin_x64 da Turla e a segmentação de centros de supercomputação europeus em maio. Também vimos o uso de ferramentas multiplataforma e multiarquitetura , como cupins e minhocas na operação TunnelSnake . Essas ferramentas são capazes de criar túneis, transferir dados e gerar shells remotos nas máquinas alvo, suportando x86, x64, MIPS (ES), SH-4, PowerPC, SPARC e M68k. Além disso, também descobrimos a estrutura que batizamos de MosaicRegressor , que inclui uma imagem de firmware UEFI comprometida projetada para colocar malware em computadores infectados. - Aumento de ataques em regiões ao longo das rotas comerciais entre a Ásia e a Europa
Em 2020, observamos vários atores da ameaça APT como alvo de países que anteriormente atraíam menos atenção. Vimos vários malwares usados por atores que falam chinês, usados contra alvos do governo no Kuwait, Etiópia, Argélia, Mianmar e no Oriente Médio. Também observamos a StrongPity implantando uma versão nova e aprimorada de seu implante principal, chamada StrongPity4. Em 2020, encontramos vítimas infectadas com StrongPity4 fora da Turquia, localizada no Oriente Médio. - Aumento da sofisticação dos métodos de ataque
Além do malware UEFI mencionado acima, também vimos o uso de serviços de nuvem legítimos (YouTube, Google Docs, Dropbox, Firebase) como parte da infraestrutura de ataque (seja ataques de geo-fencing ou hospedagem de malware e usado para comunicações C2). - Outra mudança de enfoque em relação a ataques móveis
Isso fica evidente nos relatórios que publicamos este ano. De ano para ano, temos visto mais e mais atores APT desenvolverem ferramentas para dispositivos móveis. Os atores de ameaças deste ano incluíram OceanLotus, o ator de ameaças por trás de TwoSail Junk , bem como Transparent Tribe, OrigamiElephant e muitos outros. - O abuso de informações pessoais: de falsificações profundas a vazamentos de DNA
Informações pessoais vazadas / roubadas estão sendo usadas mais do que nunca em ataques pessoais e próximos. Os atores da ameaça têm menos medo do que nunca de se envolver em comunicações contínuas e ativas com suas vítimas, como parte de suas operações de spear-phishing, em seus esforços para comprometer os sistemas de destino. Vimos isso, por exemplo, nas atividades do ThreatNeedle do Lazarus e nos esforços do DeathStalker para pressionar as vítimas a habilitar macros. Os criminosos usaram software de IA para imitar a voz de um executivo sênior , enganando um gerente para que ele transferisse mais de £ 240.000 para uma conta bancária controlada por fraudadores; e governos e agências de aplicação da lei têm usado software de reconhecimento facial para vigilância .
Voltando a nossa atenção para o futuro, estes são alguns dos desenvolvimentos que consideramos que irão ocupar um lugar central no próximo ano, com base nas tendências que observamos este ano.
Atores de ameaças APT comprarão acesso inicial à rede de cibercriminosos
No ano passado, observamos muitos ataques de ransomware direcionados usando malware genérico, como o Trickbot, para ganhar uma posição nas redes de destino. Também observamos conexões entre ataques de ransomware direcionados e redes subterrâneas bem estabelecidas, como o Genesis, que normalmente negociam credenciais roubadas. Acreditamos que os atores da APT começarão a usar o mesmo método para comprometer seus alvos. As organizações devem prestar mais atenção ao malware genérico e realizar atividades básicas de resposta a incidentes em cada computador comprometido para garantir que o malware genérico não tenha sido usado para implantar ameaças sofisticadas.
Mais países usando acusações legais como parte de sua ciberestratégia
Há alguns anos, prevíamos que os governos recorreriam a “nomear e envergonhar”, para chamar a atenção para as atividades de grupos APT hostis. Vimos vários casos disso nos últimos 12 meses. Acreditamos que a estratégia de “engajamento persistente” do US Cyber Command começará a dar frutos no próximo ano e levará outros estados a fazer o mesmo, não apenas como retaliação “olho por olho” às acusações dos EUA. O engajamento persistente envolve a liberação pública de relatórios sobre as ferramentas e atividades do adversário. O Comando Cibernético dos EUA argumentou que a guerra no ciberespaço é de natureza fundamentalmente diferente e requer envolvimento em tempo integral com os adversários para interromper suas operações. Uma das maneiras de fazer isso é fornecendo indicadores que a comunidade de inteligência de ameaças pode usar para iniciar novas investigações – em certo sentido,
As ferramentas “queimadas” dessa forma se tornam mais difíceis de usar pelos invasores e podem minar campanhas anteriores que, de outra forma, poderiam ter ficado sob o radar. Diante dessa nova ameaça, os adversários que planejam ataques devem levar em consideração custos adicionais (a maior possibilidade de perder ferramentas ou de essas ferramentas serem expostas) em seu cálculo de risco / ganho.
Expor conjuntos de ferramentas de grupos APT não é nenhuma novidade: vazamentos sucessivos por Shadow Brokers fornecem um exemplo notável. No entanto, é a primeira vez que isso é feito em caráter oficial por meio de agências estaduais. Embora quantificar os efeitos da dissuasão seja impossível, especialmente sem acesso aos canais diplomáticos onde tais assuntos são discutidos, acreditamos que mais países seguirão essa estratégia em 2021. Primeiro, os estados tradicionalmente alinhados com os EUA podem começar a replicar o processo, e então, mais tarde, os alvos de tais divulgações poderiam seguir o exemplo como uma forma de retaliação.
Mais empresas do Vale do Silício tomarão medidas contra corretores de dia zero
Até recentemente, os corretores de dia zero trocavam exploits por produtos comerciais bem conhecidos; e grandes empresas como Microsoft, Google, Facebook e outras aparentemente prestaram pouca atenção ao comércio. No entanto, no ano passado ou assim, houve casos de alto perfil em que contas foram supostamente comprometidas usando vulnerabilidades do WhatsApp – incluindo Jeff Bezos e Jamal Khashoggi . Em outubro de 2019, o WhatsApp entrou com um processo acusando o Grupo NSO de Israel de ter explorado uma vulnerabilidade em seu software ; e que a tecnologia vendida pela NSO foi usada para atingir mais de 1.400 de seus clientes em 20 países diferentes, incluindo ativistas de direitos humanos, jornalistas e outros. Um juiz dos EUA posteriormente decidiu que o processo poderia prosseguir. O resultado do caso pode ter consequências de longo alcance, entre as quais pode levar outras empresas a tomarem medidas legais contra empresas que negociam explorações de dia zero. Acreditamos que a crescente pressão pública e o risco de danos à reputação podem levar outras empresas a seguir o exemplo do WhatsApp e tomar medidas contra os corretores de dia zero, para demonstrar aos seus clientes que eles estão procurando protegê-los.
Maior direcionamento de dispositivos de rede
Com a tendência de melhoria geral da segurança organizacional, acreditamos que os atores se concentrarão mais na exploração de vulnerabilidades em dispositivos de rede, como gateways VPN. Já estamos começando a ver isso acontecer – veja aqui , aqui e aqui para mais detalhes. Isso vai de mãos dadas com a mudança para trabalhar em casa, exigindo que mais empresas dependam de uma configuração VPN em seus negócios. O aumento do foco no trabalho remoto e na dependência de VPNs abre outro vetor de ataque potencial: a coleta de credenciais do usuário por meio de abordagens de engenharia social do mundo real, como “vishing”para obter acesso a VPNs corporativos. Em alguns casos, isso pode permitir que o invasor atinja seus objetivos de espionagem sem implantar malware no ambiente da vítima.
O surgimento de vulnerabilidades 5G
O 5G atraiu muita atenção este ano, com os EUA exercendo muita pressão sobre os estados amigos para desencorajá-los de comprar produtos Huawei. Em muitos países, também houve inúmeras histórias assustadoras sobre possíveis riscos à saúde, etc. Este foco na segurança 5G significa que os pesquisadores, tanto públicos quanto privados, estão definitivamente olhando para os produtos da Huawei e outros, em busca de sinais de problemas de implementação, falhas de criptografia e até mesmo backdoors. Qualquer uma dessas falhas certamente receberá grande atenção da mídia. Conforme o uso de 5G aumenta e mais dispositivos se tornam dependentes da conectividade que ele fornece, os invasores terão um maior incentivo para procurar vulnerabilidades que possam explorar.
Exigir dinheiro “com ameaças”
Vimos várias mudanças e refinamentos nas táticas usadas por gangues de ransomware ao longo dos anos. Mais notavelmente, os ataques evoluíram de ataques aleatórios e especulativos, distribuídos para um grande número de vítimas em potencial, para ataques altamente direcionados que exigem um pagamento consideravelmente maior de uma única vítima por vez. As vítimas são cuidadosamente selecionadas, com base em sua capacidade de pagamento, sua confiança nos dados criptografados e no impacto mais amplo que um ataque terá. E nenhum setor é considerado fora dos limites, apesar das promessas feitas por gangues de ransomware de não atacar hospitais . O método de entrega também é personalizado para se adequar à organização visada, como vimos em ataques a centros médicos e hospitais ao longo do ano.
Também vimos gangues de ransomware buscando obter maior alavancagem, ameaçando publicar dados roubados se uma empresa deixar de pagar o resgate exigido pelos invasores. É provável que essa tendência se desenvolva ainda mais à medida que as gangues de ransomware buscam maximizar seu retorno sobre o investimento.
O problema do ransomware tornou-se tão comum que o OFAC (Office of Foreign Assets Control) divulgou instruções para as vítimas e esclareceu que o pagamento de resgates poderia constituir uma violação das sanções internacionais. Interpretamos este anúncio como o início de uma repressão mais ampla ao mundo do cibercrime pelas autoridades dos EUA.
Este ano, as gangues Maze e Sodinokibi foram pioneiras em um modelo de “afiliação” envolvendo colaboração entre grupos. No entanto, o ecossistema de ransomware permanece muito diversificado. É possível que, no futuro, vejamos uma concentração dos principais jogadores de ransomware que começarão a se concentrar em suas atividades e obter recursos semelhantes aos do APT. No entanto, por algum tempo, gangues menores continuarão a adotar a abordagem estabelecida que depende de botnets pegos carona e ransomware de terceiros.
Ataques mais perturbadores
Mais e mais aspectos de nossas vidas estão se tornando dependentes de tecnologia e conectividade com a internet. Como resultado, apresentamos uma superfície de ataque muito mais ampla do que nunca. É provável, portanto, que veremos mais ataques destrutivos no futuro. Por um lado, essa interrupção pode ser o resultado de um ataque direcionado e orquestrado, projetado para afetar a infraestrutura crítica. Por outro lado, pode ser um dano colateral que ocorre como efeito colateral de um ataque de ransomware de grande volume que visa organizações que usamos em nosso dia-a-dia, como instituições educacionais, supermercados, serviços postais e transporte público .
Os invasores continuarão a explorar a pandemia COVID-19
O mundo foi virado de cabeça para baixo pelo COVID-19, que impactou quase todos os aspectos de nossas vidas este ano. Atacantes de todos os tipos rapidamente aproveitaram a oportunidade para explorar o grande interesse neste tópico, incluindo os atores da ameaça APT. Como observamos antes, isso não marcou uma mudança nos TTPs, mas simplesmente um tópico de interesse persistente que eles poderiam usar como isca de engenharia social. A pandemia continuará afetando nossas vidas por algum tempo; e os atores da ameaça continuarão a explorar isso para ganhar uma posição nos sistemas de destino. Durante os últimos seis meses, houve relatos de grupos APT visando centros de pesquisa COVID-19. O Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido declarou que o APT29 (também conhecido como Dukes e Cozy Bear) tinha como alvo o desenvolvimento da vacina COVID-19. Isso continuará sendo um alvo de interesse estratégico para eles enquanto durar a pandemia.
Fonte: https://securelist.com/apt-predictions-for-2021/99387
