Nova pesquisa da Proofpoint traz uma análise profunda sobre os ataques mais modernos e as principais ameaças utilizadas por cibercriminosos no momento  
 

São Paulo, 14 de junho, 2023 – A Proofpoint, Inc., empresa líder em segurança cibernética e conformidade, divulgou hoje seu relatório anual Human Factor, revelando que, após dois anos de pausa por conta da pandemia, 2022 foi um retorno aos "negócios" para os criminosos cibernéticos do mundo inteiro. À medida que os programas médicos e econômicos voltados ao COVID-19 começaram a diminuir, os invasores tiveram que encontrar novas maneiras de ganhar dinheiro aprimorando suas habilidades de engenharia social, comoditizando técnicas de ataque sofisticadas e usando da criatividade para buscar novas oportunidades em lugares inesperados.

Desde o dimensionamento de força bruta (tentativas de violar uma senha ou um nome de usuário ou descobrir uma chave, usando uma abordagem de tentativa e erro) e ataques direcionados à empresas que usam computação na nuvem, até o aumento de ataques de smishing, phishing por SMS, e proliferação da quebra da autenticação multifator (MFA), o cenário de ataques cibernéticos testemunhou desenvolvimentos significativos em várias frentes, em 2022.

“Com o Microsoft 365 representando uma grande porcentagem da superfície de ataques típicos de uma organização, o amplo uso dessa plataforma, de macros do Office a documentos do OneNote, continua a moldar as linhas gerais do cenário de ameaças”, explica Marcelo Bezerra, gerente de engenharia da Proofpoint. “À medida que os controles de segurança melhoraram lentamente, os atores das ameaças inovaram e escalaram seus desvios. Técnicas que antigamente eram restritas a hackers experientes, agora são utilizadas em escala - como por exemplo, o uso de MFA e a entrega de ataque por telefone. Embora muitos atores de ataques ainda estejam realizados novos experimentos, o que permanece igual é que, invariavelmente, os invasores exploram as pessoas, que são a variável mais crítica hoje em dia na cadeia de ataques”.

O Human Factor é o relatório mais abrangente do mercado desenvolvido por um único fornecedor e investiga os novos desenvolvimentos em todo o cenário de ameaças, com foco na combinação de tecnologia e psicologia que torna os ataques cibernéticos modernos tão perigosos entre as três principais facetas do risco do usuário - vulnerabilidade, ataques e privilégios. O relatório se baseia em um dos maiores e mais diversos conjuntos globais de dados de cibersegurança do setor em e-mail, nuvem e computação móvel provenientes de mais de 2,6 bilhões de mensagens de e-mail, 49 bilhões de URLs, 1,9 bilhão de anexos, 28 milhões de contas na nuvem, 1,7 bilhão de SMS suspeitos e muito mais.

De técnicas complexas, como contornar o MFA, a entrega de ataques orientados por telefone e ameaças de conversação que dependem apenas da engenharia do invasor, 2022 foi um ano de criatividade sem precedentes entre os agentes de ameaças, pois eles variaram as cadeias de ataque, fizeram testes e descartaram rapidamente os mecanismos de entrega.

As principais descobertas destacadas no relatório Human Factor 2023 da Proofpoint incluem:

• O uso do serviço macros do Office entrou em colapso depois que a Microsoft lançou controles para bloqueá-los: depois de quase três décadas sendo utilizado como um método popular de distribuição de malware, o uso de macros do Office, comandos e instruções agrupados como um único comando para realizar uma tarefa automaticamente, finalmente começou a diminuir depois que a Microsoft atualizou como seu software lida com arquivos baixados da internet. As mudanças desencadearam uma onda contínua de experimentação de hackers para buscar técnicas alternativas para comprometer os alvos.
• Os cibercriminosos começaram a combinar sua habilidade com precisão e paciência recém-descobertas: as ameaças de smishing conversacional e pig butchering - que começam com invasores enviando mensagens aparentemente inofensivas - aumentaram no ano passado. No espaço virtual, foi a ameaça de crescimento mais rápido do ano, experimentando um aumento de doze vezes em termos de volume. E a entrega de ataques orientados por telefone (TOAD) atingiu o pico de 13 milhões de mensagens por mês. Vários atores de APT patrocinados pelo Estado investiram um tempo significativo trocando mensagens benignas com seus alvos para construir um relacionamento ao longo de semanas e meses.
• Os phishings de desvio de MFA disponíveis no mercado tornaram-se onipresentes, permitindo que até mesmo criminosos não técnicos criassem uma campanha de phishing: estruturas de desvio de MFA como EvilProxy, Evilginx2 e NakedPages foram responsáveis por mais de um milhão de mensagens de phishing por mês.
• A infraestrutura desempenhou um papel fundamental na entrega de muitos ataques baseados em nuvem e mostrou as limitações das proteções baseadas em regras: a maioria das organizações enfrentou ameaças originárias dos gigantes da nuvem Microsoft e Amazon, cuja infraestrutura hospeda inúmeros serviços legítimos dos quais as organizações dependem.
• Novos métodos de distribuição colocaram o SocGholish entre os cinco principais malwares por volume de mensagens: com um novo método de distribuição envolvendo downloads drive-by e falsas atualizações de navegador, o agente da ameaça por trás do SocGholish—TA569—tem sido cada vez mais capaz de infectar sites para entregar malware exclusivamente por drive-by downloads, induzindo as vítimas a baixá-lo por meio de atualizações falsas do navegador. Muitos sites que hospedam o malware SocGholish não sabem que o estão hospedando, proliferando ainda mais sua distribuição.
• As ameaças à nuvem se tornaram onipresentes: 94% daqueles que pagam por servidores em cloud são alvos todos os meses de um ataque de precisão ou de força bruta na nuvem, indicando uma frequência equivalente aos vetores de e-mail e dispositivos móveis. O número de ataques de força bruta – principalmente a pulverização de senhas – aumentou de uma média mensal de 40 milhões em 2022 para quase 200 milhões no início de 2023.
• Abusar da familiaridade e da confiança nas grandes marcas é uma das formas mais simples de engenharia social: os produtos e serviços da Microsoft ocuparam quatro das cinco primeiras posições das marcas utilizadas, sendo a Amazon a número um.
• Um acesso inicial bem-sucedido pode levar rapidamente a ataques em toda a rede, como infecção por ransomware ou roubo de dados: até 40% das identidades de administrador "sombra", que possuem permissões específicas para escalar informações na nuvem,  quando mal configuradas podem ser exploradas em uma única etapa, como redefinir uma senha de domínio para aumentar privilégios. Foi descoberto que 13% dos administradores sombra já possuem privilégios de administrador de domínio, permitindo que invasores coletem credenciais e acessem sistemas corporativos. Cerca de 10% dos endpoints têm uma senha de conta privilegiada desprotegida, com 26% dessas contas expostas sendo administradores de domínio.
• O Emotet voltou a ser o fator de ameaças mais proeminente do mundo, um ano depois que a aplicação da lei colocou o botnet offline em janeiro de 2021: No entanto, apesar de enviar mais de 25 milhões de mensagens em 2022 - mais do que o dobro do volume do segundo fator de ameaças mais proeminente - a presença do Emotet tem sido intermitente, com o grupo também mostrando sinais de letargia na adaptação ao cenário de ameaças pós-macro.
• Enquanto o crime motivado financeiramente domina amplamente o cenário de ameaças, um único ataque atípico por um agente de Ameaça Persistente Avançada (APT) pode ter um impacto enorme: uma grande campanha do TA471, um grupo APT alinhado à Rússia que se envolve em espionagem corporativa e governamental, impulsionou esse fator para o topo dos gráficos de volume de mensagens APT. TA416, um agente da APT alinhado com o estado chinês, foi um dos mais ativos. Em particular, novas campanhas significativas do TA416 coincidiram com o início da guerra Rússia-Ucrânia, visando entidades diplomáticas europeias envolvidas em serviços de refugiados e migrantes. 

Para baixar o relatório Human Factor, por favor acesse o link.

Sobre a Proofpoint, Inc.

A Proofpoint, Inc. é uma empresa líder em cibersegurança e compliance que protege os maiores ativos e maiores riscos das organizações: suas pessoas. Com um conjunto integrado de soluções baseadas em nuvem, a Proofpoint ajuda empresas de todo o mundo a interromper ameaças direcionadas, proteger seus dados e tornar seus usuários mais resilientes contra ataques cibernéticos. Organizações líderes de todos os tamanhos, incluindo 75% da Fortune 100, contam com a Proofpoint para soluções de segurança e conformidade centradas em pessoas que mitigam seus riscos mais críticos em e-mail, nuvem, mídia social e web. Mais informações estão disponíveis no site.