No Relatório de Ameaças deste mês, pedimos a especialistas de nossa equipe de Detecção e Resposta Gerenciada (MDR) para discutir a caça a ameaças, como ela é usada para defesa proativa, bem como alguns dos equívocos mais comuns. Também mergulhamos nas últimas descobertas de Ransomware de nossos laboratórios.
Informações MDR
Conscientização sobre segurança cibernética: modelagem de ameaças
Conforme declarado pela OWASP, “A modelagem de ameaças funciona para identificar, comunicar e entender ameaças e mitigações no contexto de proteger algo de valor.” A modelagem de ameaças deve evoluir para monitorar continuamente as ameaças cibernéticas. À medida que nos concentramos no mês de conscientização sobre segurança cibernética, a modelagem de ameaças é uma etapa essencial para as organizações, pois pode ajudar a responder perguntas sobre as ameaças potenciais e entender a expansão da infraestrutura e ferramentas e onde os riscos podem estar. Quando feito corretamente, a construção de um modelo de ameaça deve estabelecer processos que permitam a coleta de dados, reunindo inteligência que apoie ou refute descobertas, reduzindo riscos, monitorando dados e tornando as informações úteis para o negócio. Também não deve ser estático, vivendo em um ponto no tempo,
Como construir um modelo de ameaça
Primeiro, o processo de modelagem de ameaças deve reunir requisitos de inteligência que suportem objetivos estratégicos, operacionais e táticos de negócios. A coleta de detalhes sobre a organização e o ambiente monitorado pode ser feita com vários departamentos de TI e suporte, proprietários de produtos ou tecnologia, questionários, ferramentas de inteligência de ameaças e ferramentas de monitoramento de superfície de ataque. Os requisitos de inteligência ajudam as equipes a definir não apenas os recursos necessários, mas também as lacunas nos recursos para fins de gerenciamento de coleções.
Aqui estão algumas coisas para se pensar ao coletar requisitos:
Quem são os interessados?
Estes podem variar de proprietários de tecnologia ou produto, liderança C-Level, gerenciamento intermediário e profissionais de segurança e TI.
Quais requisitos de inteligência são importantes para a organização?
Exemplos para iniciar a conversa podem ser táticas pré ou pós-ataque, ataques por geografia ou setor, fraude ou engenharia social, ataques à cadeia de suprimentos e comprometimentos ou vulnerabilidades e explorações.
As perguntas específicas de negócios também são críticas?
A organização já foi atacada antes? Quem tem as “chaves do castelo?” Onde residem as informações ou dados críticos (as joias da coroa)? Que tipo de informação crítica vive em sua propriedade? Existem produtos ou serviços que possam interessar a um ator criminoso ou estatal? Quais sistemas operacionais e aplicativos estão em uso? Quem faz negócios com você? Algum terceiro tem acesso?
Agora você pode passar para pesquisa e coleta usando a orientação das partes interessadas, objetivos de negócios e dados de requisitos de inteligência como ponto de partida. A pesquisa subsequente, feita da perspectiva de um invasor, fornece detalhes úteis sobre quem, o quê, onde, como e por que uma organização pode estar em risco. Por exemplo, os atores cibernéticos usam táticas, técnicas e procedimentos (TTPs), combinados com o que é conhecido sobre o ambiente, fornecem pontos de dados que podem ser monitorados com ferramentas de segurança e inteligência de ameaças e pesquisa de analistas. Essas informações também são úteis para busca ou resposta a incidentes porque geralmente produzem uma linha de base do que é conhecido e são consideradas uma atividade comercial normal no ambiente. Outro benefício é que conhecer os tipos de software e sistemas operacionais e onde eles são implantados, por exemplo, pode ajudar a informar o gerenciamento de vulnerabilidades. Entender quem são os usuários críticos pode proteger contra a exposição na Internet e ajudar no gerenciamento de acesso.
O monitoramento é provavelmente a etapa mais crucial e algo que geralmente não é considerado ao criar um modelo de ameaça. Os modelos de ameaças geralmente são construídos como um único modelo que é atualizado trimestralmente ou anualmente, o que geralmente resulta em um processo desatualizado e complicado que é menos eficaz. O monitoramento permite que os profissionais de segurança cibernética avaliem continuamente o cenário de ameaças e descubram ameaças rapidamente. Domínios, endereços IP públicos, informações específicas do setor, vetores de ataque, compromissos anteriores e informações de pilha de tecnologia são pontos de dados que podem ser monitorados e alertados quando vulnerabilidades são descobertas, campanhas de phishing visam setores ou empresas específicas ou invasores vazam informações corporativas. Várias plataformas de inteligência fornecem a capacidade de inserir dados relacionados ao meio ambiente e encontrar informações voltadas para o público.
Por fim, o resultado da modelagem de ameaças deve produzir muitas ações, incluindo cartilhas para mitigação de riscos, melhoria geral do processo, educação e treinamento e avisos ou notificações cibernéticas quando houver suspeita ou presença de uma ameaça. As medidas tomadas para deter, prevenir ou descobrir ameaças permitem que as organizações mudem a narrativa e tomem medidas proativas para reduzir seus riscos. Em última análise, há o benefício adicional de tranquilidade para cada parte interessada, geralmente como resultado de descobrir que nem todas as ameaças estão à sua disposição e nem tudo está sob ataque, o que permite que os defensores concentrem melhor sua atenção no que o real ameaças são para sua organização.
Bitdefender MDR
Bitdefender MDR concentra-se na prevenção de ataques o mais à esquerda possível do ciclo de vida dos invasores. A modelagem de ameaças cria um processo que ajuda a identificar as ameaças certas, ao mesmo tempo em que permite que as equipes de segurança monitorem as coisas certas com um grau mais alto de confiança. Informações críticas, como setor, localizações geográficas, incidentes ou comprometimentos anteriores e informações de pilha de tecnologia criam pontos de dados adicionais que podem ser monitorados; e, também adicionar mais contexto. Esses pontos de dados, quando considerados contra possíveis dias zero e explorações, vulnerabilidades, exposição de dados ou typosquatting, por exemplo, dão aos defensores uma melhor compreensão do que os invasores podem usar contra eles. Compreender essas informações ajuda a produzir inteligência acionável necessária para tomar decisões de segurança e monitorar com eficiência os ambientes dos clientes.
Relatório de ransomware
Os ataques de Spear phishing são frequentemente usados como um vetor de ataque inicial e a infecção por ransomware costuma ser o estágio final da cadeia de eliminação. Para este relatório, analisamos as detecções de malware coletadas em setembro de 2022 de nossos mecanismos antimalware estáticos. Nota: contamos apenas o total de casos, não o quão monetariamente significativo é o impacto da infecção. Adversários oportunistas e alguns grupos de Ransomware-as-a-Service (RaaS) representam uma porcentagem maior em comparação com grupos que são mais seletivos sobre seus alvos, pois preferem volume a maior valor.
Ao analisar esses dados, lembre-se de que são detecções de ransomware, não infecções.
As 10 principais famílias de ransomware
Analisamos as detecções de malware de 1º a 30 de setembro. No total, identificamos 196 famílias de ransomware . O número de famílias de ransomware detectadas pode variar a cada mês, dependendo das campanhas de ransomware atuais em diferentes países.
10 principais países
No total, detectamos ransomware de 148 países em nosso conjunto de dados este mês. O ransomware continua sendo uma ameaça que atinge quase todo o mundo. Abaixo está uma lista dos 10 principais países mais impactados pelo ransomware. Muitos ataques de ransomware continuam sendo oportunistas e o tamanho da população está correlacionado ao número de detecções.
Trojans em sistemas Android
Abaixo estão os 10 principais trojans direcionados ao Android que vimos em nossa telemetria em setembro de 2022.
Downloader.DN – Aplicativos reempacotados retirados da Google App Store e empacotados com adware agressivo. Alguns adware baixam outras variantes de malware.
SMSSend.AYE - Malware que tenta se registrar como o aplicativo SMS padrão na primeira execução, solicitando o consentimento do usuário. Se for bem-sucedido, ele coleta as mensagens de entrada e saída do usuário e as encaminha para um servidor de Comando e Controle (C&C).
Agent.AQQ - Um malware dropper é um trojan que esconde a carga perigosa dentro de um aplicativo como uma técnica de evasão. Se puder evitar defesas de segurança, essa carga útil será implantada. A carga maliciosa é descriptografada e carregada pelo dropper.
Banker.ACI, ACK - Aplicativos polimórficos que imitam aplicativos legítimos (Google, Facebook, Sagawa Express ...). Uma vez instalado, ele localiza os aplicativos bancários instalados no dispositivo e tenta baixar uma versão trojanizada do servidor C&C.
HiddenApp.AID - Adware agressivo que se faz passar por aplicativos AdBlock. Ao executar pela primeira vez, ele pede permissão para exibir em cima de outros aplicativos. Com essa permissão, o aplicativo pode se ocultar do iniciador.
FakeInst.JU – Malware que tem a capacidade de ler e enviar mensagens de texto. Uma mensagem de texto é enviada para um número premium a cada 1000 segundos. Após a implantação, ele oculta seu ícone do menu do aplicativo e envia dados confidenciais do telefone (IMEI, número de telefone, informações de rede...) para um servidor remoto.
Triada.LC – Malware que reúne informações confidenciais sobre um dispositivo (IDs de dispositivo, IDs de assinante, endereços MAC) e as envia para um servidor C&C malicioso. O servidor C&C responde enviando de volta um link para uma carga útil que o malware baixa e executa.
Banker.VQ - Aplicativos que descartam e instalam módulos criptografados. Este trojan concede privilégios de administrador do dispositivo e obtém acesso para gerenciar chamadas telefônicas e mensagens de texto. Após a implantação, ele mantém uma conexão com o servidor C&C para receber comandos e fazer upload de informações confidenciais.
Banker.XJ - Aplicativos que soltam e instalam módulos criptografados. Este trojan concede privilégios de administrador do dispositivo e obtém acesso para gerenciar chamadas telefônicas e mensagens de texto. Após a implantação, ele mantém uma conexão com o servidor C&C para receber comandos e fazer upload de informações confidenciais.
Relatório de phishing homógrafo
Os ataques homógrafos funcionam para abusar dos nomes de domínio internacionais (IDN). Os agentes de ameaças criam nomes de domínio internacionais que falsificam um nome de domínio de destino. Quando falamos sobre “alvo” de ataques de phishing homógrafos de IDNs, nos referimos ao domínio que os agentes de ameaças estão tentando representar. Você pode ler mais sobre esse tipo de ataque em um de nossos relatórios anteriores.
Abaixo está a lista dos 10 principais alvos mais comuns para sites de phishing.
Conclusão
O Bitdefender Threat Debrief (BDTD) é uma série mensal que analisa notícias, tendências e pesquisas sobre ameaças do mês anterior. Não perca o próximo lançamento do BDTD, assine o blog Business Insights e siga-nos no Twitter . Você pode encontrar todos os relatórios anteriores aqui.
A Bitdefender fornece soluções de segurança cibernética e proteção avançada contra ameaças para centenas de milhões de terminais em todo o mundo. Mais de 150 marcas de tecnologia licenciaram e adicionaram a tecnologia Bitdefender às suas ofertas de produtos ou serviços. Esse vasto ecossistema OEM complementa os dados de telemetria já coletados de nossas soluções comerciais e de consumo. Para dar uma ideia da escala, o Bitdefender Labs descobre mais de 400 novas ameaças a cada minuto e valida 30 bilhões de consultas de ameaças diariamente. Isso nos dá uma das visões em tempo real mais extensas do setor sobre o cenário de ameaças em evolução.
Comments