🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Emerging Threats

Por que você deve se preocupar com uma pandemia cibernética que pode dominar o ciberespaço

Por que você deve se preocupar com uma pandemia cibernética que pode dominar o ciberespaço
September 8, 2020
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

 

Empresas de todos os tamanhos e setores são vítimas de violações de dados e ataques de ransomware. Incidentes de segurança que resultam em vazamento de dados podem manchar a reputação da organização em questão, sem falar na batalha legal que se segue. As empresas gastam milhões de dinheiro em produtos de segurança para alcançar uma postura de segurança abrangente, mas os invasores conseguem comprometer redes e exfiltrar dados. Os agentes de ameaças, bem como os agentes patrocinados pelo estado, criam vetores de ataque sofisticados que são indetectáveis e desenvolvem explorações de dia zero para aplicativos usados por organizações vítimas.

Muitas vezes, o modelo RaaS para desenvolvedores de ransomware é anunciado em fóruns clandestinos de hackers. Hoje, qualquer pessoa pode usar a plataforma RaaS e se tornar um operador de ransomware. As empresas pagam o valor do resgate, quando ele se torna a única opção viável. Isso incentiva os agentes de ameaças a realizarem mais campanhas contra organizações.

Os APTs patrocinados pelo estado são mais perigosos, pois são apoiados por estados-nação. Seu financiamento nunca acaba, o que, por sua vez, permite que eles desenvolvam uma infraestrutura complexa. O objetivo alvo é outro fator que faz com que os APTs se destaquem, uma vez que fatores geopolíticos são sua principal motivação e não fatores financeiros.

Ransomware rate

Cenário de ameaças

As tendências recentes no cenário de inteligência de ameaças cibernéticas envolvem ransomware e trojans bancários. Downloaders de malware complexos de vários estágios também podem ser encontrados na natureza. Eles facilitam a disseminação adicional de ransomware e outros spyware/trojans. Certos grupos de ransomware também se envolvem em saquear criptomoedas comprometendo as bolsas de criptomoedas.

 

Ransomware

Ryuk

Ryuk foi detectado em vários ataques contra organizações corporativas em todo o mundo, exigindo pagamentos de resgate que variam de 15 a 50 Bitcoins (BTC); o que se traduz em entre USD 97.000 e $320.000 no momento da avaliação. 

 

Fig1. Popular attack vectors
Figura 1. Vetores de ataque populares

 

Ransomware targets Windows

Evil/ Sodinokibi

O ransomware REvil/Sodinokibi foi detectado pela primeira vez em 2019, visando os setores de saúde e TI. Mais tarde, começou a leiloar dados confidenciais na dark web, roubados de empresas que usavam seu código malicioso. Como parte de suas táticas, esse grupo de ransomware ameaça divulgar os dados de suas vítimas, a menos que seus pedidos de resgate sejam atendidos.

 

Dharma/CrySiS

Dharma ransomware anexa várias extensões aos arquivos infectados e é uma variante do CrySiS. O malware está em operação desde 2016 e os agentes de ameaças por trás do ransomware continuam lançando novas variantes que não são decifráveis.

 

STOP/ djvu

O Djvu é um vírus de alto risco que pertence à família de malware STOP. Descoberto pela primeira vez por Michael Gillespie, esse vírus é classificado como ransomware e foi projetado para bloquear (criptografar) arquivos usando um algoritmo de criptografia.

 

Cepas de ransomware relatadas

Fig2. Ransomware strains Q1 2020 (incl. STOP)
Figura 2. Cepas de ransomware no primeiro trimestre de 2020 (incluindo STOP)

Recentemente, observou-se que a cooperação entre famílias de ransomware também aumentou, aumentando a eficiência na operação das ofertas de ransomware como serviço.

Fig3. Ransomware strains Q1 2020 (excl. STOP)
Figura 3. Cepas de ransomware no primeiro trimestre de 2020 (excl. PARAR)

STOP, Dharma, Phobos e REvil tiveram papéis importantes a desempenhar no setor de RaaS. Eles são muito ativos, até hoje, realizando suas campanhas, especialmente Dharma e REvil.

Phishing and ransomware

Ataques de malware versus ataques sem malware

Os ataques de malware são casos de uso simples em que um arquivo malicioso é gravado no disco. Isso pode ser facilmente detectado e bloqueado pelo Endpoint Detection and Response (EDR). Os ataques sem malware são mais ataques de execução de código na memória e pulverização de credenciais que exigem mecanismos de detecção mais sofisticados. Vimos um aumento nos ataques sem malware como parte das campanhas desde 2019. Eles evitam com sucesso as medidas de segurança e defesas estabelecidas pelas empresas.

 

Custo de um ataque de ransomware

O custo total de um ataque de ransomware inclui o valor do resgate (se pago), os custos de remediação da rede, a perda de receita e o custo de um possível dano à reputação da marca. Tendências recentes em ataques indicam que mais empresas são alvo e ameaçam liberar dados em troca de resgate.

Parece que grupos de ransomware avaliaram os impactos de longo prazo de seus ataques na imagem da marca, na confiança e na reputação de organizações que se recusam a pagar. O ransomware Ryuk é o grande responsável pelo aumento massivo nas demandas de ransomware. Os operadores de ransomware exigem uma média de $288.000 para o lançamento de sistemas.

Ransomware affectes business

Fig4. Largest amount of ransom reported in 2019
Figura 4. Maior quantidade de resgate relatada em 2019

 

Fig5. Largest avg. ransom pay-offs 2020
Figura 5. Maior média de pagamentos de resgate em 2020

 

Estatísticas de ransomware para 2020

Levando em conta a tendência e as estatísticas atuais, ransomware e custos de tempo de inatividade para os cinco principais países de 2020, estima-se que sejam:

  • Itália: $1,1 bilhão — $4,3 bilhões
  • Alemanha: $1 bilhão — $4 bilhões
  • Espanha: $830 milhões — $3,3 bilhões
  • Reino Unido: $469 milhões — $1,9 bilhão
  • França: $121 milhões — $485 milhões

 

Custos ocultos do ransomware

  • Tempo de inatividade dos sistemas de informação
  • Perda de reputação
  • Penalidades/Multas
  • Ação legal do usuário

Avg. ransom payment

 

Segurança cibernética durante a COVID-19

“A OMS relata um aumento de cinco vezes nos ataques cibernéticos e pede vigilância”

Os agentes de ameaças exploraram extensivamente a COVID-19 para realizar ataques de phishing, disfarçados de OMS e agências similares, para entregar e-mails repletos de malware. Os ataques de phishing relacionados ao COVID-19 aumentaram 667%, os golpes aumentaram 400% em relação ao mês de março de 2020, tornando o Coronavirus a maior ameaça à segurança de todos os tempos. Para piorar as coisas, as diretrizes de distanciamento social observadas em todos os países forçaram as organizações a trabalhar em locais remotos, colocando em risco a segurança dessas organizações. O trabalho remoto expôs os endpoints dos usuários a ameaças externas e teve os seguintes impactos:

  • Aumento do risco de segurança decorrente do trabalho/aprendizado remotos
  • Possível atraso na detecção e resposta a ataques cibernéticos
  • Planos de continuidade de negócios (BCP) para enfrentar pandemias globais

 

Inteligência eficaz contra ameaças

Para uma empresa média que ganha $10 mil por hora, operando 8 horas por dia e 5 dias por semana, o custo do tempo de inatividade é estimado em $1.760.000 por mês. O tempo médio de inatividade estimado é de 1 a 2 horas. O custo médio de 1,6 horas de tempo de inatividade por semana para uma empresa da Fortune 500 é de aproximadamente 46 milhões de dólares por ano.

Um ataque distribuído de negação de serviço que interrompe temporariamente as atividades de um site pode durar alguns dias ou até mais. De acordo com o Relatório de DDoS do IDG, 36% das empresas que sofreram mais de cinco ataques de DDoS sofrem um tempo médio de inatividade de 7 a 12 horas.

Uma equipe experiente de Inteligência contra Ameaças Cibernéticas (CTI) reúne informações de diferentes fontes e as converte em inteligência para proteger as corporações clientes. Se uma CTI eficaz não fizer parte do modelo de segurança maduro de uma empresa, ela poderá ser vítima de qualquer ataque a qualquer momento.

Uma equipe de CTI pode monitorar ativamente e criar inteligência acionável nas seguintes áreas do seu negócio:

  • Cadeia de suprimentos
  • Monitoramento da dark web para vazamentos de dados
  • Zero dias
  • Novos vetores de ataque emergentes

A inteligência de ameaças deve ser acionável. A inteligência de ameaças fornece táticas, técnicas e procedimentos (TTPs) e indicadores de comprometimento (IOCs) à equipe de segurança, especialmente à equipe do Centro de Operações de Segurança (SOC), para medidas proativas/reativas para combater as ameaças cibernéticas.

 

Indicadores de compromisso

Estes são alguns dos indicadores comuns de compromisso:

  • Endereços IP, URLs e nomes de domínio usados por malware
  • Endereços de e-mail, assunto do e-mail, links e anexos usados por malware
  • Chaves de registro, nomes de arquivos e hashes de arquivos e DLLs de malware
Exemplos

 

Táticas, técnicas, procedimentos/TTPs

Os TTPs definem o comportamento de um ator ou grupo de ameaças e explicam como o ator realiza um ataque contra a rede e faz um movimento lateral dentro da intranet.

O MITRE ATT&CK é a estrutura de inteligência de ameaças de código aberto mais amplamente usada para entender as táticas e técnicas do adversário. Existem 11 táticas e 291 técnicas listadas nesta estrutura.

 

Exemplo de tática e técnica

 

Tática
Técnicas
Acesso inicialT1193: Acessório de Spear PhishingExecuçãoT1059: Interface de linha de comando

T1086: PowerShell

T1085: Rodada 32

T1064: Programação de scripts

T1204: Execução do usuário

T1028: Gerenciamento remoto do Windows

 

A eficácia de uma equipe de CTI em prever a possibilidade de uma ocorrência e garantir a implementação efetiva de medidas de mitigação é essencial para a sobrevivência de qualquer organização em seu atual reino de operações.

 

Conclusão

Para promover suas intenções nefastas, os agentes de ameaças se equipam com ferramentas sofisticadas e recursos avançados. É muito difícil para as autoridades policiais e para os profissionais de segurança cibernética acompanhar esses atores. Um sistema CTI eficaz pode ajudar as organizações a conter o ataque na rede, reduzir os custos associados e minimizar a perda de dados. Investir em um forte sistema de CTI permitirá que os centros de operações de segurança prevejam e mitiguem ataques de forma proativa. No entanto, um sistema CTI é tão forte quanto seu elo mais fraco: os humanos. Erros humanos podem fazer com que até mesmo o sistema de segurança mais impenetrável e robusto falhe. Um bom sistema de segurança monitora sistemas de informação e aplicativos e conduz avaliações regulares de vulnerabilidades e testes de identidade. Porém, um sistema de segurança abrangente prioriza o treinamento e a atualização de funcionários/usuários sobre higiene cibernética e melhores práticas.

Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Emerging Threats
April 10, 2025
5
min
Protegendo sua marca na era digital: monitoramento de páginas e canais falsos pelo xVigil da CloudSEK
Leia mais
Este é um texto dentro de um bloco div.
Emerging Threats
February 14, 2025
15
min
The Faux SEO Spiderweb: explorando como o Black-hat SEO invadiu o espaço da Internet na Índia
Leia mais
Este é um texto dentro de um bloco div.
Emerging Threats
February 11, 2025
2
min
Os cibercriminosos odeiam isso! O Fake Domains Observer do CloudSEK está mudando o jogo
Leia mais