Ransomware é o principal tipo de ataque cibernético, enquanto manufatura é a mais atingida

O ransomware foi o tipo de ataque número um em 2021, pois phishing e explorações de vulnerabilidade foram os principais vetores de infecção

Author Photo
9:57 am - 10 de março de 2022
ransomware empresário preocupado

Ransomware e phishing foram os principais problemas de segurança cibernética para as empresas em 2021, de acordo com o X-Force Threat Intelligence Index anual da IBM Security. O relatório mapeia as tendências e padrões observados pela X-Force, a plataforma de compartilhamento de inteligência de ameaças da IBM, abrangendo os principais pontos de dados, incluindo dispositivos de detecção de rede e endpoint, e engajamentos de resposta a incidentes (IR).

O relatório, que cobre 2021, relatou o ransomware como o principal tipo de ataque; phishing e vulnerabilidades não corrigidas como principais vetores de infecção; ambientes de nuvem, código aberto e Docker como as maiores áreas de foco para malware; indústria manufatureira como a mais atacada; e a Ásia como a região mais afetada.

Ransomware prosperou apesar das remoções do governo

O ransomware foi responsável por 21% de todos os ataques cibernéticos em 2021, de acordo com a X-Force. No entanto, caiu 2% em relação a 2020. As atividades de aplicação da lei foram fundamentais para reduzir o ransomware em 2021, embora com potencial de ressurgimento em 2022, disse a X-Force.

REvil, também conhecido como Sodinikibi, foi a principal variedade de ransomware, representando 37% dos ataques, seguido por Ryuk com 13% e Lockbit 2.0 com 7%. Outros ransomwares envolvidos em ataques cibernéticos incluem DarkSide, Crystal, BlackMatter, Ragnar Locker, BitLocker, Medusa, EKing, Xorist.

O relatório identificou uma vida útil média das gangues de ransomware em meio às principais quedas nos últimos tempos. “Começamos a perceber uma tendência entre os grupos de ransomware que seguimos, sugerindo que chega um momento em que eles se desfazem ou precisam fazer uma mudança para que a aplicação da lei possa perder seus rastros – e que a vida útil é em média de 17 meses”, diz Laurance Dine, Líder Global de Resposta a Incidentes para o IBM Security X-Force.

Um exemplo de tal reviravolta é o rebranding do grupo GandCrab como REvil, operando por 31 meses antes de ser finalmente encerrado em outubro de 2021.

O relatório descobriu que existem cinco estágios de implantação de um ataque de ransomware:

  • Acesso inicial: envolve vetores de acesso inicial como phishing, exploração de vulnerabilidades e Remote Desktop Protocol estabelecendo acesso persistente.
  • Pós-exploração: envolve um RAT (ferramenta de acesso remoto) ou malware para estabelecer o acesso interativo.
  • Compreensão e ampliação: triagem do sistema local e ampliação do acesso para movimentação lateral.
  • Coleta e exfiltração de dados: identificando dados valiosos e exfiltrando-os.
  • Implantação de ransomware: distribuição de carga útil de ransomware.

Além disso, o relatório rastreou a evolução dos ataques de ransomware e observou o uso crescente do que é chamado de extorsão tripla, que tem criptografia, extração e DDoS (negação de serviço distribuído) como uma ofensiva combinada. A extorsão tripla é uma investida de ameaças contra a vítima e, às vezes, contra os parceiros da vítima, pois procura atacar as vítimas de várias frentes, aumentando a interrupção potencial, aumentando os efeitos psicológicos do ataque e aumentando a pressão para pagar, de acordo com Dine.

Ataques de acesso ao servidor e comprometimento de e-mail comercial (BEC) foram o segundo e terceiro tipos de ataque mais comuns, com 14% e 8%, respectivamente, de acordo com o relatório.

Principais vetores: phishing e exploração de vulnerabilidades

O phishing se tornou o método de ataque mais comum em 2021, usado em 41% de todos os ataques, acima dos 33% em 2020, enquanto as explorações de vulnerabilidades (34%) caíram para o segundo lugar, abaixo dos 35%.

Campanhas de phishing simuladas pela X-Force Red, uma rede global de hackers que são contratados para invadir os sistemas das organizações para descobrir vulnerabilidades, renderam uma taxa de cliques de 17,8%. Quando adicionado com chamadas telefônicas de vishing (phishing de voz), a taxa de cliques saltou três vezes, para 53,2%.

“Os golpes óbvios estão ficando um pouco mais fáceis de detectar por um consumidor médio experiente”, diz Liz Miller, Analista da Constellation Research. “É por isso que os golpes mudam e adicionam elementos de maior legitimidade, como um telefonema com um acompanhamento por e-mail de phishing. Certa vez fui pessoalmente contatado por alguém sobre um possível problema de conta com uma instituição financeira, oferecendo-se para enviar instruções por e-mail para resolver o mesmo”.

O relatório destaca que as implantações de kits de phishing geralmente são de curta duração, com cerca de dois terços sendo usados por não mais de um dia e apenas cerca de 75 visitantes/vítimas por implantação. Quase todas as implantações solicitaram credenciais de usuário (IDs e senhas), seguidas de detalhes do cartão de crédito (40%). Muito poucos pins de ATM solicitados (3%). Microsoft, Apple, Google, Amazon e Dropbox estão entre os mais falsificados em kits de phishing.

Vulnerabilidades não corrigidas para empresas na Europa, Ásia e MEA causaram aproximadamente 50% de todos os ataques em 2021. As duas vulnerabilidades mais exploradas foram encontradas em aplicativos corporativos amplamente usados, Microsoft Exchange e Apache Log4J Library.

Outros vetores de infecção comuns identificados no relatório incluem credenciais roubadas, força bruta, protocolo de área de trabalho remota (RDP), mídia removível e pulverização de senha.

Ataques aproveitam Docker e código aberto

Com dados provenientes da Intezer, o relatório observou que o ransomware Linux com código único saltou cerca de 2,5 vezes (146%) no ano, destacando a inovação no segmento. O relatório também observou que os invasores estão deixando de visar sistemas Linux genéricos e se concentrando em containers Docker.

“O vetor de ataque de código aberto e, por extensão, ambientes em containers nos quais o código pode ficar, mesmo segmentado de outras partes da rede, tem aumentado exponencialmente nos últimos anos”, diz Miller. “O código aberto, para todas as suas melhores intenções, pode permitir que vulnerabilidades e linhas de código maliciosas fiquem profundamente dentro de bibliotecas que não foram tocadas em uma década”.

O relatório observa um aumento da atividade em ambientes de tecnologia operacional (OT), com invasores realizando campanhas de reconhecimento massivas em busca de comunicações exploráveis em redes industriais. Em 2021, a maioria dessas atividades visava a porta TCP 502. Essa porta usa um protocolo de mensagens de camada de aplicativo para comunicação cliente-servidor entre barramentos conectados, redes e dispositivos de controlador lógico programável (PLC) em redes industriais. Houve um aumento de 2204% na atividade de reconhecimento visando a porta 502.

Nas organizações conectadas a OT, 61% dos incidentes foram observados no segmento de manufatura e 36% dos incidentes observados foram ransomware.

Ciberataques por região e recomendações

A Ásia foi a região mais afetada em 2021, sendo atingida com 26% de todos os ataques. Desses ataques, 20% foram de acesso ao servidor e 11% ransomware, os dois principais ataques da região. Finanças – incluindo seguros – e manufatura foram os setores mais afetados, com 30% e 29%, respectivamente. Japão, Austrália e Índia foram os países mais atacados na Ásia.

A Europa ficou em segundo lugar com 24% de todos os ataques, concentrados em manufatura (25%) e finanças e seguros (18%). Ransomware (26%) e acesso ao servidor (12%) lideraram os tipos de ataque para a região. Reino Unido, Itália e Alemanha foram os países com mais ataques na Europa.

No geral, a manufatura respondeu por 23,2% dos ataques em 2021, registrando um salto de 34% em relação ao ano anterior. Ransomware (23%) e acesso ao servidor (12%) foram os principais tipos de ataque neste setor. O relatório concluiu que uma abordagem de confiança zero, automação de resposta a incidentes e recursos estendidos de detecção e resposta podem ser úteis no combate às ameaças atuais.

Uma abordagem de confiança zero, com a implementação de autenticação multifator e o princípio de privilégio mínimo, tem o potencial de diminuir a suscetibilidade das organizações aos principais tipos de ataques identificados no relatório, principalmente ransomware e comprometimento de e-mail comercial.

Automatizar máquinas para cuidar de ameaças que levariam horas para uma pessoa ou uma equipe de profissionais cibernéticos é outra opção, de acordo com o relatório.

O relatório sugere que a combinação de várias soluções diferentes em uma solução de detecção e resposta estendida (XDR) pode fornecer vantagens às organizações na identificação e bloqueio de invasores.

“Os cibercriminosos estão se tornando cada vez mais resilientes, engenhosos e furtivos em sua busca pelos dados críticos das empresas – portanto, onde as empresas mantêm seus dados é mais importante do que nunca”, diz Dine. “É fundamental que eles modernizem sua infraestrutura para melhor gerenciar, proteger e controlar o ‘quem, o quê e por quê’ de acessar seus dados”.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.