Comunicados à imprensa

Derek Manky, head de Security Insights & Global Threat Alliances no FortiGuard Labs

“A cibersegurança é uma indústria dinâmica e em movimento rápido, mas eventos de ameaças recentes mostram velocidades incomparáveis ​​com as quais os cibercriminosos estão desenvolvendo e executando ataques hoje. Técnicas de ataque novas e em evolução abrangem todo o kill chain, mas especialmente na fase de armamento, o que mostra a evolução para uma estratégia de cibercrime persistente mais avançada, mais destrutiva e imprevisível. Para se proteger contra esse amplo escopo de ameaças, as organizações precisam implementar estratégias de prevenção, detecção e resposta baseadas em IA com base em uma arquitetura de cybersecurity mesh que permita uma integração muito mais estreita, maior automação, bem como uma resposta mais rápida, coordenada e eficaz a ameaças em toda a rede estendida.”

Resumo da notícia:

A Fortinet® (NASDAQ: FTNT), líder global em soluções de segurança cibernética amplas, integradas e automatizadas, anunciou hoje o mais recente relatório semestral do cenário de ameaças globais do FortiGuard Labs. A inteligência de ameaças a partir do segundo semestre de 2021 revela um aumento na automação e velocidade dos ataques, demonstrando estratégias persistentes de cibercrime mais avançadas, mais destrutivas e imprevisíveis. Além disso, a superfície de ataque em expansão dos trabalhadores híbridos e da TI híbrida é um ponto focal que os adversários cibernéticos estão tentando explorar. Para uma visão detalhada do relatório, bem como algumas conclusões importantes, leia o blog.

Seguem os destaques do relatório do segundo semestre de 2021:

Log4j demonstra a velocidade dramática de exploração que as organizações enfrentam: As vulnerabilidades do Log4j que ocorreram no final de 2021 demonstram o rápido aumento da velocidade de exploração que os cibercriminosos estão tentando aproveitar. Apesar de surgir na segunda semana de dezembro, a atividade de exploração aumentou com rapidez suficiente, em menos de um mês, para torná-la a detecção de IPS mais prevalente de todo o segundo semestre de 2021. Além disso, o Log4j ultrapassou em quase 50 vezes o volume de atividade do surto ProxyLogon, que aconteceu no início de 2021. A realidade é que as organizações têm hoje muito pouco tempo para reagir ou corrigir eventos, dadas as velocidades que os adversários cibernéticos estão empregando para maximizar novas oportunidades. As organizações precisam de sistemas de prevenção de intrusão (IPS) baseados em IA e ML, estratégias agressivas de gerenciamento de patches e visibilidade da inteligência de ameaças para priorizar as ameaças que se propagam mais rapidamente na natureza para reduzir o risco geral.

Adversários que visam rapidamente novos vetores na superfície de ataque: Algumas ameaças menores têm o potencial de causar problemas maiores no futuro e merecem atenção. Um exemplo é o malware recém-criado projetado para explorar sistemas Linux, geralmente na forma de binários executáveis ​​e de formato vinculável (ELF). O Linux executa os sistemas de back-end de muitas redes e soluções baseadas em contêiner para dispositivos IoT e aplicações críticas, e está se tornando um alvo mais popular para invasores. De fato, a taxa de novas assinaturas de malware Linux no quarto trimestre quadruplicou a do primeiro trimestre de 2021 com a variante ELF Muhstik, malware RedXOR e até mesmo Log4j sendo exemplos de ameaças direcionadas ao Linux. A prevalência de ELF e outras detecções de malware Linux dobrou em 2021. Esse crescimento em variantes e volume sugere que o malware Linux faz cada vez mais parte do arsenal dos adversários. O Linux precisa ser protegido, monitorado e gerenciado como qualquer outro endpoint na rede com proteção, detecção e resposta de endpoint avançadas e automatizadas. Além disso, a higiene de segurança deve ser priorizada para fornecer proteção ativa contra ameaças para sistemas que podem ser afetados por ameaças menores.

Tendências de botnets mostram uma evolução mais sofisticada dos métodos de ataque: As tendências de ameaças demonstram que as botnets estão evoluindo para adotar técnicas de ataque mais evoluídas. Em vez de serem basicamente monolíticos e focados principalmente em ataques DDoS, as botnets agora são veículos de ataque multiuso, aproveitando uma variedade de técnicas de ataque mais sofisticadas, incluindo ransomware. Por exemplo, os agentes de ameaças, incluindo operadores de botnets como Mirai, integraram explorações para a vulnerabilidade Log4j em seus kits de ataque. Além disso, a atividade de botnet foi rastreada associada a uma nova variante do malware RedXOR, que visa sistemas Linux para exfiltração de dados. As detecções de botnets que entregam uma variante do malware RedLine Stealer também aumentaram no início de outubro, transformando-se para encpntrar novos alvos usando um arquivo falso sobre covid-19. Para proteger redes e aplicações, as organizações devem implementar soluções de Zero Trust Acess para fornecer privilégios de acesso mínimo, especialmente para proteger endpoints e dispositivos de IoT que entram na rede, bem como recursos automatizados de detecção e resposta para monitorar comportamentos anômalos.

Tendências de malware mostram que os cibercriminosos maximizam “tudo remoto”: A avaliação da prevalência de variantes de malware por região revela um interesse constante dos adversários cibernéticos em maximizar vetores de trabalho remoto e ensino à distância. Em particular, várias formas de malware baseado em navegador eram predominantes. Isso geralmente assume a forma de phishing ou scripts que injetam código ou redirecionam os usuários para sites maliciosos. As detecções específicas variam entre as regiões globais, mas podem ser amplamente agrupadas em três amplos mecanismos de distribuição: executáveis ​​do Microsoft Office (MSExcel/, MSOffice/), arquivos PDF e scripts de navegador (HTML/, JS/). Essas técnicas continuam sendo uma maneira popular para os cibercriminosos explorarem o desejo das pessoas pelas últimas notícias sobre pandemia, política, esportes ou outras manchetes e, em seguida, encontrarem portas de entrada para redes corporativas. Com o trabalho híbrido e o aprendizado sendo uma realidade, há menos camadas de proteção entre malware e possíveis vítimas. As organizações devem adotar uma abordagem de "trabalho de qualquer lugar" para sua segurança, implantando soluções capazes de acompanhar, habilitar e proteger os usuários, não importando onde estejam localizados. Eles precisam de segurança avançada no endpoint (EDR) combinada com soluções de Zero Trust Acess, incluindo ZTNA. A SD-WAN segura também é fundamental para garantir a conectividade WAN segura para a rede estendida.

Atividade de ransomware ainda alta e cada vez mais destrutiva: Os dados do FortiGuard Labs revelam que o ransomware não diminuiu dos níveis de pico no ano passado e, em vez disso, a sofisticação, a agressividade e o impacto dele estão aumentando. Os agentes de ameaças continuam a atacar organizações com uma variedade de novas cepas de ransomware e também com as já conhecidas, muitas vezes deixando um rastro de destruição. O ransomware antigo está sendo atualizado e aprimorado ativamente, às vezes com malware de limpeza incluído, enquanto outros ransomware estão evoluindo para adotar modelos de negócios de Ransomware como Serviço (RaaS). O RaaS permite que mais agentes de ameaças aproveitem e distribuam o malware sem precisar criar o ransomware por conta própria. O FortiGuard Labs observou um nível consistente de atividade maliciosa envolvendo várias cepas de ransomware, incluindo novas versões de Phobos, Yanluowang e BlackMatter. Os operadores do BlackMatter declararam que não atacariam organizações-alvo no setor de saúde e outros setores de infraestrutura crítica, mas o fizeram de qualquer maneira. Os ataques de ransomware continuam sendo uma realidade para todas as organizações, independentemente do setor ou do tamanho. As organizações precisam adotar uma abordagem proativa com visibilidade, análise, proteção e correção em tempo real, juntamente a soluções de Zero Trust Access, segmentação e backup regular de dados.

Uma compreensão mais profunda das técnicas de ataque pode ajudar a deter os criminosos mais rapidamente: A análise dos objetivos de ataque dos adversários é importante para poder alinhar melhor as defesas contra a velocidade das mudanças nas suas técnicas. Para observar os resultados maliciosos de vários ataques, o FortiGuard Labs analisou a funcionalidade do malware detectado detonando as amostras de malware coletadas ao longo do ano. O resultado foi uma lista das táticas, técnicas e procedimentos individuais (TTPs) que o malware teria realizado se as cargas de ataque tivessem sido executadas. Essa inteligência de alta resolução mostra que parar um adversário mais cedo é mais crítico do que nunca e que, concentrando-se em algumas dessas técnicas identificadas, em algumas situações, uma organização pode efetivamente encerrar os métodos de ataque de um malware. Por exemplo, as três principais técnicas para a fase de “execução” respondem por 82% da atividade. As duas principais técnicas para obter um ponto de apoio na fase de “persistência” representam quase 95% da funcionalidade observada. Aproveitar essa análise pode ter um efeito dramático na forma como as organizações priorizam suas estratégias de segurança para maximizar sua defesa.

Proteção contra adversários cibernéticos sofisticados e rápidos

À medida que os ataques continuam a se desenvolver em sofisticação e abrangem toda a superfície de ataque em velocidades cada vez maiores, as organizações precisam de soluções projetadas para interoperar ao invés de funcionar isoladamente. A proteção contra técnicas de ataque em evolução exigirá soluções mais inteligentes que saibam como assimilar inteligência de ameaças em tempo real, detectar padrões e impressões digitais de ameaças, correlacionar grandes quantidades de dados para detectar anomalias e iniciar automaticamente uma resposta coordenada. Os produtos pontuais precisam ser substituídos por uma plataforma de cybersecurity mesh que forneça gerenciamento centralizado, automação e soluções integradas que funcionem em conjunto.

Visão geral do relatório

Este último relatório do cenário global de ameaças é uma visão que representa a inteligência coletiva do FortiGuard Labs, extraída da vasta gama de sensores da Fortinet que coletam bilhões de eventos de ameaças observados em todo o mundo durante o segundo semestre de 2021. Semelhante à forma como a estrutura MITRE ATT&CK classifica as táticas adversárias e técnicas, com os três primeiros agrupamentos abrangendo reconhecimento, desenvolvimento de recursos e acesso inicial, o Relatório Global de Cenário de Ameaças do FortiGuard Labs aproveita esse modelo para descrever como os agentes de ameaças encontram vulnerabilidades, criam infraestrutura maliciosa e exploram seus alvos. O relatório também abrange perspectivas globais e regionais.

Recursos adicionais

• Leia o blog para obter informações valiosas sobre esta pesquisa ou acesse o relatório completo.
• Saiba mais sobre a inteligência e investigação de ameaças do FortiGuard Labs ou alertas que fornecem medidas oportunas para mitigar ataques de segurança cibernética.
• Saiba mais sobre o portfólio de serviços de segurança do FortiGuard da Fortinet.
• Veja como a Fortinet torna possível um mundo digital no qual você sempre pode confiar e descubra como a plataforma Fortinet Security Fabric oferece proteção ampla, integrada e automatizada em toda a infraestrutura digital de uma organização.
• Leia mais sobre como as empresas estão protegendo suas organizações com a Fortinet.
• Saiba mais sobre o treinamento e  segurança cibernética gratuito da Fortinet, uma iniciativa da Agenda de Avanço de Treinamento (TAA) da Fortinet ou sobre o programa Fortinet Network Security Expert.
• Junte-se à comunidade de usuários Fortinet (Fuse). Compartilhe ideias e feedback, aprenda mais sobre nossos produtos e tecnologia e conecte-se com colegas.
• Siga a Fortinet no Twitter, LinkedIn, Facebook, YouTube e Instagram.