O relatório 2024 State of the Threat da Secureworks revelou um aumento de 30% em relação ao ano anterior nos grupos de ransomware activos, o que demonstra a fragmentação de um ecossistema criminoso estabelecido. 31 novos grupos entraram no ecossistema de ransomware durante os últimos 12 meses e, com base no número de vítimas listadas.
Os três grupos mais activos são:
LockBit: O “líder” dos grupos de ransomware, há muito estabelecido, representou 17% das listagens, menos 8% do que no ano passado, o que prova ainda mais o impacto que a remoção teve nas suas operações.
PLAY: o segundo grupo mais activo, o PLAY duplicou o número de vítimas em relação ao ano anterior.
RansomHub: Um novo grupo, que surgiu apenas uma semana após a remoção do LockBit, já é o terceiro grupo mais activo, com 7% da quota de vítimas listadas.
À medida que os grupos mais pequenos procuram estabelecer-se, isso significa que há menos repetibilidade e estrutura na forma como operam e que as organizações têm de continuar a estar atentas a uma maior variedade de tácticas.
O tempo médio de permanência deste ano, de 28 horas, reflecte a novidade destas parcerias. Enquanto alguns grupos estão a executar ataques rápidos de “esmagar e agarrar” em poucas horas, outros passam centenas de dias em redes nos casos mais extremos.
À medida que o novo ecossistema continua a tomar forma, é de esperar que haja mais variações e mudanças nos tempos de permanência e na metodologia.
O relatório anual State of the Threat examina o panorama da cibersegurança de Junho de 2023 a Julho de 2024. Outras descobertas importantes incluem:
A actividade de aplicação da lei visando o GOLD MYSTIC (LockBit) e o GOLD BLAZER (BlackCat/ALPV) causou uma interrupção significativa no status quo do cenário operacional do ransomware. O número de grupos de ransomware activos que utilizam sites de fuga “name and shame” cresceu 30% em relação ao ano anterior.
Apesar deste crescimento dos grupos de ransomware, o número de vítimas não aumentou ao mesmo ritmo, o que revela um cenário significativamente mais fragmentado.
Com base nas observações, o scan-and-exploit e o roubo de credenciais continuam a ser os dois maiores vectores de acesso inicial (IAV) observados nos compromissos de ransomware.
Aumento observado nos ataques do tipo adversary-in-the-middle (AiTM) – uma tendência notável e preocupante para os defensores cibernéticos.
A IA está a crescer em utilização e em variação para os cibercriminosos – expandindo a escala e a credibilidade dos esquemas existentes, como a fraude do CEO ou os “piratas do obituário”.
Areias movediças do ransomware
“O ransomware é um negócio que não é nada sem o seu modelo de afiliado. No último ano, as actividades de aplicação da lei quebraram velhas alianças, remodelando o negócio do cibercrime. Inicialmente caóticos na sua resposta, os agentes de ameaças aperfeiçoaram as suas operações comerciais e a forma como trabalham. O resultado é um número maior de grupos, sustentado por uma migração substancial de afiliados”, disse Don Smith, vice-presidente de inteligência contra ameaças da Secureworks Counter Threat Unit (CTU). “À medida que o ecossistema evolui, temos entropia nos grupos de ameaças, mas também imprevisibilidade nos manuais, adicionando uma complexidade significativa para os defensores da rede.”
AiTM e IA como ameaças crescentes
No último ano, os agentes de ameaças estão cada vez mais a roubar credenciais e cookies de sessão para obter acesso através de ataques AiTM. Isso reduz potencialmente a eficácia de alguns tipos de MFA, uma tendência preocupante para os defensores da rede. Estes ataques são facilitados e automatizados por kits de phishing que estão disponíveis para aluguer em mercados clandestinos e no Telegram. Os kits mais populares incluem o Evilginx2, o EvilProxy e o Tycoon2FA.
À medida que as ferramentas de IA se tornaram generalizadas e prontamente disponíveis, era inevitável que os cibercriminosos tomassem nota à medida que procuravam escalar. Desde meados de Fevereiro de 2023, os investigadores da Secureworks CTU observaram um aumento de publicações em fóruns clandestinos sobre o OpenAI ChatGPT e a forma como este pode ser utilizado para fins nefastos. Grande parte da discussão está relacionada a actividades de nível relativamente baixo, incluindo ataques de phishing e criação de scripts básicos.
“O panorama da cibercriminalidade continua a evoluir, por vezes de forma ligeira, outras vezes de forma mais significativa. A crescente utilização da IA dá escala aos agentes de ameaças, no entanto, o aumento dos ataques AiTM apresenta um problema mais imediato para as empresas, reforçando que a identidade é o perímetro e deve fazer com que as empresas façam um balanço e reflictam sobre a sua postura defensiva”, continuou Smith.
Um novo exemplo de utilização de IA por agentes de ameaças, observado pelos investigadores da Secureworks, foi o papel que desempenhou numa fraude perpetrada pelos chamados piratas do obituário. Os agentes da ameaça monitorizaram as tendências do Google após uma morte para identificar o interesse em obituários e, em seguida, utilizaram a IA generativa para criar longos tributos em sites que foram manipulados para o topo dos resultados de pesquisa do Google por envenenamento de SEO. Em seguida, direccionavam os utilizadores para outros sites que lançavam adware ou programas potencialmente indesejados.
