Reduzir, reutilizar, reciclar: os cibercriminosos estão praticando os três “R”s

O malware consegue atrair toda a atenção da mídia e manter as empresas alertas. O mundo assistiu como os wipers foram implantados em organizações ucranianas após a invasão russa, marcando o início de um período de instabilidade que incluiu também ransomware e InfoStealers. Somando-se à carga negativa do ano passado, a versão contemporânea do ransomware comemorou em 2022 seu aniversário de 10 anos.

E se isso não bastasse, nossos pesquisadores do FortiGuard Labs viram que os cibercriminosos, assim como qualquer empresário sensato, são grandes defensores de obter o máximo de seus recursos. Poderíamos dizer que eles estão praticando os princípios de reduzir, reutilizar e reciclar, mas em vez de se concentrarem em questões ambientais, eles estão adaptando códigos para permitir resultados criminais mais bem-sucedidos.

Tudo velho é novo outra vez

Aparentemente, não são apenas os diamantes que duram para sempre – isso é certo para alguns tipos de malware também. No segundo semestre de 2022, nossos pesquisadores viram o ressurgimento de nomes familiares de malware, wiper e botnet - incluindo Emotet e GandCrab, para citar alguns. As cinco principais famílias de ransomware, de um total de 99 detectadas, representaram cerca de 37% de toda a atividade de ransomware no segundo semestre de 2022. O malware mais proeminente foi o GandCrab, uma ameaça RaaS que surgiu em 2018.

O FortiGuard Labs também investigou um grupo de variações do Emotet para avaliar sua propensão a emprestar e reciclar código. De acordo com a pesquisa, o Emotet passou por uma diversificação significativa, com variantes se dividindo em cerca de seis “espécies” diferentes de malware. Não contentes em simplesmente automatizar as ameaças, os ciberataques aprimoram agressivamente as inovações que são bem-sucedidas.

Os adversários cibernéticos têm espírito empreendedor e estão constantemente buscando maneiras de aumentar o valor dos investimentos e do conhecimento em operações de ataque para aumentar sua eficácia e lucratividade. A reutilização de código permite que os hackers desenvolvam os resultados anteriores, melhorando interativamente seus ataques e ultrapassando as barreiras defensivas. De fato, em nossa análise dos malwares mais comuns no segundo semestre de 2022, vimos que a maior parte dos primeiros lugares era ocupada por malwares com mais de um ano. Alguns deles – como o Lazurus – existem há mais de 10 anos e são pilares da história da internet.

Ressuscitando velhas táticas

Juntamente à reutilização de código, os invasores estão maximizando as oportunidades usando ameaças conhecidas e a infraestrutura existente. Por exemplo, se olharmos para ameaças de botnet por penetração, muitos das principais botnets não são novas. Mirai e Gh0st.Rat continuaram dominando em todas as geografias, o que não é surpreendente. Entre as cinco principais botnets observadas, apenas a RotaJakiro foi criada nos últimos dois anos. Embora haja uma tendência de desconsiderar os riscos mais antigos, as empresas de todos os setores devem manter sua vigilância.

Essas botnets "antigas" continuam em ampla circulação porque continuam a ser altamente eficazes. Como há um retorno sobre o investimento, hackers inteligentes continuarão a explorar a atual infraestrutura de botnet e a transformá-la em versões cada vez mais persistentes usando técnicas altamente especializadas. Em particular, o setor de manufatura, provedores de serviços de segurança gerenciados (MSSP) e o setor de telecomunicações e operadoras foram os principais alvos da Mirai no segundo semestre de 2022. Isso demonstra um intenso esforço dos criminosos para atingir esses setores com técnicas testadas e comprovadas.

Adiantando-se ao jogo

Pode ser difícil para as empresas acompanhar as ameaças em constante mudança. A reutilização de código e a modularização possibilitadas por um crescente ecossistema do Crime-as-a-Service ressaltam o valor de serviços de segurança em tempo real que podem ajudar as empresas a afastarem as ameaças com defesa coordenada e baseada em IA. Além disso, as empresas podem obter detecção e execução mais rápidas em toda a superfície de ataque se houver integração entre todos os dispositivos de segurança, reduzindo assim sua postura geral de risco.

Além da tecnologia, a estratégia de segurança cibernética realmente se resume às pessoas. É preciso um esforço global, com relacionamentos robustos e confiáveis ​​e colaboração entre os profissionais envolvidos em segurança cibernética – em organizações e setores públicos e comerciais – para interromper com sucesso as cadeias de suprimentos dos criminosos cibernéticos.

A conscientização cibernética e o treinamento devem ser a base de qualquer empresa – isso deve se estender a todos os funcionários, não apenas aos de TI ou funções de segurança. Estima-se que 80% das organizações relataram no ano passado que sofreram uma ou mais violações devido à falta de habilidades e conscientização sobre segurança cibernética.

Prepare-se para o que vem a seguir

A segunda metade de 2022 foi interessante, para dizer o mínimo. Entender as tendências desse período ajudará você a entender melhor como manter suas empresas operando com segurança. Pelo que observamos nos últimos seis meses, não podemos descartar as ameaças mais antigas. Elas ainda estão evoluindo ativamente, procurando lugares não corrigidos e novas vulnerabilidades que permitirão que elas se espalhem. As empresas que usarem as informações e práticas recomendadas acima estarão mais bem preparadas para enfrentar o que está por vir no horizonte de ameaças.