Ameaças Persistentes Avançadas permitem uma nova série de ataques destrutivos em escala impulsionados pelo Cybercrime-as-a-Service
Lisboa, 24 de novembro de 2022
Derek Manky, Chief Security Strategist & VP Global Threat Intelligence, FortiGuard Labs
"À medida que o cibercrime converge com métodos de Ameaças Persistentes Avançadas, os cibercriminosos estão a encontrar formas de usar novas tecnologias escalando os ataques para permitir um maior impacto e destruição. Não visam apenas a superfície de ataque tradicional, mas também abaixo dela, o que significa tanto fora como dentro dos ambientes tradicionais de rede. Paralelamente, estão a investir mais tempo no reconhecimento para tentar fugir à deteção, inteligência e controlos. Tudo isto significa que o ciber risco continua a aumentar, e que os CISOs precisam de ser tão ágeis e metódicos quanto o adversário. As organizações ficam mais bem posicionadas para se protegerem contra estes ataques com uma plataforma de cibersegurança integrada através de redes, endpoints e clouds para permitir uma defesa inteligente automatizada e acionável contra as ameaças, juntamente com capacidades avançadas de deteção e resposta baseadas no comportamento".
A Fortinet®, líder mundial em soluções amplas, integradas e automatizadas de cibersegurança, acaba de divulgar as previsões da equipa de investigação e intelligence de ameaças globais da FortiGuard Labs sobre o cenário das ameaças cibernéticas para os próximos 12 meses e não só. Desde os ataques de Cybercrime-as-a-Service (CaaS) em rápida evolução até às novas exploits em alvos não tradicionais como edge devices ou mundos online, o volume, variedade e escala das ciberameaças manterão as equipas de segurança em alerta máximo em 2023, bem como posteriormente. Os destaques das previsões podem ser encontrados abaixo, mas para uma visão mais detalhada das previsões e das principais sugestões para os CISOs, consulte o blog.
1) Sucesso do RaaS é uma Preview do que está para vir com o CaaS
Tendo em conta o sucesso do cibercrime com Ransomware-as-a-Service (RaaS), um número crescente de vetores de ataque adicionais será disponibilizado como serviço através da dark web para impulsionar uma expansão significativa do Cibercrime-as-a-Service. Para além da venda de ransomware e outras ofertas de Malware-as-a-Service, surgirão novos serviços à la carte. O CaaS apresenta um modelo de negócio atrativo para os atores da ameaça. Com diferentes níveis de habilidade, podem facilmente tirar partido das ofertas chave-na-mão sem investir tempo e recursos para elaborar o seu próprio plano de ataque único. E para cibercriminosos experientes, a criação e venda de portfolios de ataque as-a-Service traduz-se num dia de pagamento simples, rápido e repetível. No futuro, as ofertas CaaS baseadas em subscrições poderiam potencialmente proporcionar fluxos de receitas adicionais. Além disso, os atores da ameaça também vão começar a aproveitar os vetores de ataque emergentes, tais como deepfakes, oferecendo estes vídeos, gravações áudio e algoritmos relacionados mais amplamente para compra.
Um dos mais importantes métodos de defesa contra estes desenvolvimentos é a educação e a formação na área da cibersegurança. Enquanto muitas organizações oferecem programas básicos de formação em segurança para os seus colaboradores, as organizações devem considerar a adição de novos módulos que forneçam educação sobre métodos em evolução, tais como as ameaças ativadas por IA.
2) Os modelos Reconnaissance-as-a-Service podem tornar os ataques mais eficazes
Outro aspeto de como a natureza organizada do cibercrime permitirá estratégias de ataque mais eficazes envolve o futuro do reconhecimento. À medida que os ataques se tornam mais direcionados, os atores da ameaça vão, possivelmente, contratar "detetives" na dark web para reunir informações sobre um determinado alvo antes de lançar um ataque. Tal como os conhecimentos que se podem obter com a contratação de um investigador privado, as ofertas de Reconnaissance-as-a-Service podem servir de plano de ataque para incluir o esquema de segurança de uma organização, o número de servidores que possuem, vulnerabilidades externas conhecidas, e mesmo credenciais comprometidas para venda, ou ainda, para ajudar um cibercriminoso a realizar um ataque altamente direcionado e eficaz. Ataques alimentados por modelos CaaS significam que parar os adversários mais cedo durante o reconhecimento será importante.
Atrair cibercriminosos com tecnologia enganadora será uma forma útil não só de combater RaaS, mas também CaaS, na fase de reconhecimento. A cibersegurança enganadora associada um serviço de digital risk protection (DRP) pode ajudar as organizações a conhecer o inimigo e a ganhar vantagem.
3) Branqueamento de capitais ganha o impulso da automatização para criar LaaS
Para fazer crescer as organizações cibercriminosas, líderes e programas de afiliação empregam “mulas” de dinheiro que são utilizadas intencionalmente ou inconscientemente para ajudar a branquear dinheiro. O baralhamento de dinheiro é normalmente feito através de serviços de transferência bancária anónima ou através de trocas criptográficas para evitar a sua deteção. A criação de campanhas de recrutamento de “mulas” de dinheiro tem sido historicamente um processo moroso, uma vez que os líderes dos cibercrimes se esforçam ao máximo por criar websites para organizações falsas e subsequentes listas de empregos para fazer com que os seus negócios pareçam legítimos. Os cibercriminosos vão começar, brevemente, a utilizar machine learning para o recrutamento dos alvos, ajudando-os a identificar melhor potenciais “mulas”, ao mesmo tempo que reduzem o tempo necessário para encontrar estes recrutas. As campanhas manuais de “mulas” serão substituídas por serviços automatizados que movimentam dinheiro através de camadas de trocas criptográficas, tornando o processo mais rápido e mais desafiante de rastrear. O branqueamento de capitais como um serviço (LaaS – Laundering-as-a-Service) poderá rapidamente tornar-se um elemento dominante como parte do crescente portfólio CaaS. E para as organizações ou indivíduos que são vítimas deste tipo de cibercrime, a passagem à automatização significa que o branqueamento de dinheiro será mais difícil de detetar, diminuindo as hipóteses de recuperação de fundos roubados.
Procurar fora de uma organização por pistas sobre futuros métodos de ataque será mais importante do que nunca, para ajudar a preparar-se antes de os ataques ocorram. Os serviços de DRP são críticos para avaliações de superfície de ameaças externas, para encontrar e corrigir questões de segurança, e para ajudar a obter conhecimentos contextuais sobre ameaças atuais e iminentes antes de um ataque ocorrer.
4) Cidades Virtuais e Mundos Online são as novas superfícies de ataque para impulsionar o Cibercrime
O metaverso está a dar origem a novas experiências totalmente imersivas no mundo online, e as cidades virtuais são algumas das primeiras a integrar esta nova versão da Internet impulsionada por tecnologias de realidade aumentada. Os retalhistas estão mesmo a lançar produtos digitais disponíveis para compra nestes mundos virtuais. Enquanto estes novos destinos online abrem um mundo de possibilidades, abrem também a porta a um aumento sem precedentes da cibercriminalidade em território não cartografado. Por exemplo, o avatar de um indivíduo é essencialmente uma porta de entrada para personally identifiable information (PII), tornando-os alvos privilegiados para os atacantes. Porque os indivíduos podem adquirir bens e serviços em cidades virtuais, wallets digitais, trocas criptográficas, NFTs, e quaisquer moedas utilizadas para transacionar, oferecem aos atores da ameaça mais uma superfície de ataque emergente. O hacking biométrico pode também tornar-se uma possibilidade real devido aos componentes de AR e VR das cidades virtuais, tornando mais fácil para um cibercriminoso roubar o mapeamento de impressões digitais, dados de reconhecimento facial, ou exames de retina e depois utilizá-los para fins maliciosos. Além disso, as aplicações, protocolos, e transações dentro destes ambientes são também possíveis alvos para os adversários.
Independentemente do trabalho, aprendizagem ou experiências imersivas, a partir de qualquer local, a visibilidade, proteção e mitigação em tempo real é essencial com a endpoint detection and response (EDR) para permitir a análise, proteção e reparação em tempo real.
5) Comoditização de Wiper Malware irá permitir ataques mais destrutivos
O wiper malware voltou a atacar de forma dramática em 2022, com os atacantes a introduzirem novas variantes deste método que conta já uma década. De acordo com o relatório 1H 2022 FortiGuard Labs Global Threat Landscape, houve um aumento de disk-wiping malware paralelamente com a guerra na Ucrânia, mas também foi detetado em mais 24 países, não apenas na Europa. O seu crescimento na prevalência é alarmante porque poderia ser apenas o início de algo mais destrutivo. Para além da realidade existente de agentes de ameaça que combinam um computer worm com wiper malware, e mesmo um ransomware para o máximo impacto, a preocupação que vai para o futuro é a comoditização do wiper malware para cibercriminosos. O malware que possa ter sido desenvolvido e implementado por atores de Estado-nação pode ser capturado e reutilizado por grupos criminosos e utilizado em todo o modelo CaaS. Dada a sua disponibilidade mais ampla combinada com a exploração certa, o wiper malware poderia causar destruição massiva num curto período de tempo, dada a natureza organizada do cibercrime nos dias de hoje. Isto faz com que o tempo de deteção e a rapidez com que as equipas de segurança podem remediar a situação sejam primordiais.
O uso de inline sandboxing alimentado por IA é um bom ponto de partida de proteção contra sofisticados ataques de ransomware e ameaças de wiper malware. Permite uma proteção em tempo real contra ataques em evolução, porque pode garantir que apenas ficheiros benignos serão entregues aos endpoints se integrados com uma plataforma de cibersegurança.
O que estas tendências de ataque significam para os profissionais de cibersegurança?
O mundo da cibercriminalidade e os métodos de ataque dos ciber adversários, em geral, continuam a escalar a grande velocidade. A boa notícia é que muitas das táticas que estão a utilizar para executar estes ataques são familiares, o que posiciona melhor as equipas de segurança para se protegerem. As soluções de segurança devem ser melhoradas com machine learning e inteligência artificial para que possam detetar padrões de ataque e deter ameaças em tempo real. Contudo, o portfólio de soluções de segurança pontuais não é eficaz no panorama atual. Uma plataforma mesh de cibersegurança abrangente, integrada e automatizada é essencial para reduzir a complexidade e aumentar a resiliência da segurança. Pode permitir uma integração mais estreita, uma melhor visibilidade e uma resposta mais rápida, coordenada e eficaz às ameaças em toda a rede.
