A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, publicou a edição mais recente do seu estudo anual “Threat Report 2023“. Nele, detalha como o cenário de ciberameaças atingiu um novo nível de comercialização e conveniência para os atacantes, graças à expansão do cibercrime-como-serviço. O relatório também mostra que o ransomware continua a ser uma das maiores ciberameaças para as organizações, com os operadores a inovar nas suas táticas de extorsão, e que a procura por credenciais roubadas continua a aumentar.

Sophos lança estudo threat report 2023 sobre o atual cenário de ciberameaças

Os criminosos fazem dinheiro comercializando cibercrimes, lançando ataques de ransomware mais inovadores e apostando ainda mais no roubo de credenciais.
O ransomware continua a ser uma das maiores ameaças para as organizações.

Há muito tempo que os marketplaces criminosos clandestinos, como o Genesis, tornaram possível comprar malware e serviços de implementação de malware (malware como serviço), bem como vender em massa credenciais roubadas e outros dados. Ao longo da última década, com o aumento de popularidade do ransomware, surgiu toda uma economia de ransomware como serviço. Em 2022, este modelo “como serviço” expandiu-se e quase todos os elementos de um toolkit para cibercrimes – desde a infeção inicial a formas de evitar a deteção – estão disponíveis para compra.

“Não estamos a falar apenas do que é habitual, como ver malware, fraudes e kits de phishing à venda,” afirmou Sean Gallagher, Principal Threat Researcher da Sophos. “Os cibercriminosos de nível superior estão agora a vender ferramentas e capacidades que antes estavam apenas nas mãos de alguns dos atacantes mais sofisticados. Por exemplo, no último ano temos visto anúncios de operações de segurança como serviço (OPSEC-as-a-service), nos quais os vendedores se oferecem para ajudar os invasores a ocultar infeções do Cobalt Strike; ou de fraude como serviço (scam-as-a-service), que dão aos compradores acesso a ferramentas comerciais legítimas, como o Metasploit, para que possam encontrar e explorar vulnerabilidades. A comoditização de quase todos os componentes do cibercrime está a impactar o cenário de ameaças e a abrir oportunidades para qualquer tipo de atacante, independentemente do seu nível de habilidade.”

Com a expansão da economia “como serviço”, os mercados de cibercrime clandestinos também estão a tornar-se cada vez mais mercantilizados e a operar como empresas convencionais. Os vendedores de cibercrimes não só anunciam os seus serviços, como também publicam ofertas de emprego para recrutar atacantes com habilidades distintas. Alguns marketplaces têm agora equipas de recrutamento e páginas dedicadas a ofertas, e os candidatos publicam lá os seus currículos, capacidades e qualificações.

“Os primeiros operadores de ransomware estavam bastante limitados no que podiam fazer, porque as suas operações eram centralizadas; os membros dos grupos executavam todos os aspetos de um ataque. Contudo, à medida que o ransomware se começou a tornar extremamente lucrativo, procuraram maneiras de escalar as suas produções, e começaram a fazer outsourcing de partes das suas operações, criando toda uma infraestrutura para dar suporte ao ransomware. Agora, outros cibercriminosos inspiraram-se no sucesso dessa infraestrutura e estão a seguir-lhe o exemplo,” continuou Sean Gallagher.

De facto, à medida que a infraestrutura do cibercrime se ampliou, o ransomware permaneceu altamente popular e lucrativo. No ano passado, os operadores de ransomware trabalharam na expansão do potencial do seu serviço de ataques, dirigindo-se a outras plataformas para além do Windows; e ao mesmo tempo adotaram novas linguagens, como Rust e Go, para evitar a deteção. Alguns grupos, principalmente o Lockbit 3.0, têm vindo a diversificar as suas operações e a criar formas mais inovadoras de extorquir as vítimas.

“Quando falamos sobre a crescente sofisticação do submundo do crime, também se estende ao mundo do ransomware,” explicou Gallagher. “Por exemplo, o Lockbit 3.0 oferece agora recompensas a quem encontrar bugs no seu malware, e faz ‘crowd-sourcing’ de ideias para melhorar as suas operações criminosas. Outros grupos passaram para um modelo de subscrição do acesso aos dados roubados que detêm, e outros estão a leiloá-los. O ransomware tornou-se, acima de tudo, um negócio.”

A economia em evolução deste submundo não apenas incentivou o crescimento do ransomware e da indústria “como serviço”, como também aumentou a procura pelo roubo de credenciais. Com a expansão dos serviços web, vários tipos de credenciais, especialmente cookies, podem ser utilizados de diferentes formas para os criminosos entrarem mais facilmente nas redes, até mesmo ultrapassando a autenticação multifator (MFA). O roubo de credenciais também continua a ser uma das formas mais fáceis de os criminosos amadores obterem acesso aos marketplaces clandestinos e começarem a sua “carreira”.

A Sophos também analisou as seguintes tendências:

A guerra na Ucrânia teve repercussões globais no cenário de ciberameaças. Logo após a invasão registou-se uma explosão de golpes com motivação financeira, e o nacionalismo abalou as alianças criminosas entre ucranianos e russos, particularmente entre parceiros de ransomware.

Os criminosos continuam a explorar ficheiros executáveis legítimos e utilizam “binários living off the land” (LOLBins) para lançar vários tipos de ataques, incluindo ransomware. Em alguns casos, os invasores implementam drivers de sistema legítimos, mas vulneráveis, em ataques “bring your own driver”, para tentar desativar a deteção de endpoints e os produtos de resposta a ameaças, e evitarem ser descobertos.

Os dispositivos móveis estão agora no centro dos novos tipos de cibercrimes. Os invasores ainda utilizam aplicações falsas para lançar malware, spyware e malware associado a serviços bancários, mas agora cresce a popularidade de novas formas de ciberfraude, como “pig butchering” (esquemas em que as vítimas recebem ordens de pagar taxas ou impostos avultados para poderem levantar dinheiro). Este crime já não está a afetar apenas os utilizadores de Android, mas agora também os de iOS.

A desvalorização da Monero, uma das criptomoedas mais populares para os cryptominers, levou à diminuição de um dos tipos mais antigos e populares de crime neste segmento – a criptomineração. Contudo, o malware de mining continua a ser espalhado através de “bots” automatizados nos sistemas Windows e Linux.

O Threat Report 2023 da Sophos é composto por investigações e insights da Sophos X-Ops, uma nova unidade de operações transversal que une três equipas estabelecidas de especialistas de cibersegurança da Sophos (SophosLabs, Sophos SecOps e Sophos AI). A Sophos X-Ops conta com mais de 500 especialistas de cibersegurança em todo o mundo, excecionalmente capacitados para oferecer uma visão completa e multidisciplinar de um cenário de ameaças cada vez mais complexo.

Para saber mais sobre as mudanças no cenário de ameaças em 2022, e o que isso significa para as equipas de segurança em 2023, leia o estudo ‘Threat Report 2023’ completo. Em janeiro, a Sophos Iberia vai organizar um webinar sobre este documento – não deixe de se inscrever aqui.

Para saber mais sobre ciberataques diários e as táticas, técnicas e procedimentos (TTPs) dos atacantes, siga a Sophos X-Ops no Twitter e subscreva a newsletter da Sophos para receber investigações sobre ameaças, artigos sobre operações de segurança e relatórios de quem está na linha da frente da cibersegurança.

Para mais informação: Leia as últimas notícias sobre segurança na página Naked Security News e saiba mais sobre a Sophos no canal Sophos News.