No Relatório de Ameaças deste mês, pedimos a especialistas de nossa equipe de Detecção e Resposta Gerenciada (MDR) para discutir a caça a ameaças, como ela é usada para defesa proativa, bem como alguns dos equívocos mais comuns. Também mergulhamos nas últimas descobertas de Ransomware de nossos laboratórios.
Informações MDR
O que são ataques híbridos?
Nos últimos anos, vimos uma mudança dramática no nível de sofisticação dos ataques cibernéticos, principalmente graças à introdução do modelo de negócios de participação nos lucros para agentes de ameaças com motivação financeira. Ataques de phishing e credenciais vazadas/fracas ainda dominam o vetor inicial de comprometimento, mas o número de violações de segurança causadas por explorações de vulnerabilidade dobrou no ano passado (fonte: Relatório de Investigações de Violação de Dados 2022). Essa tendência pode ser explicada pela crescente popularidade dos ataques híbridos – um tipo de ataque em que o comprometimento inicial é oportunista e depende de scanners automatizados, mas é então triado por um operador humano para determinar se vale a pena desenvolver mais.
Os ataques híbridos estão aumentando, combinando o comprometimento
inicial automatizado com triagem prática.
Essa expansão de ataques pode assumir diferentes formas – por exemplo, mesmo uma pequena empresa pode ter dados altamente valiosos (advogados que trabalham com celebridades/políticos ou um contratado terceirizado com acesso interno). Uma empresa pode fazer parte da cadeia de suprimentos de uma corporação muito maior – geralmente não é o que você tem que é valioso para os agentes de ameaças, é quem você conhece e com quem está conectado. Para saber mais sobre esses tipos de ataques, você pode ler nosso Deep Dive into a Corporate Espionage Operation – uma análise feita por nossos próprios Bitdefender Labs de uma operação de espionagem industrial visando uma pequena empresa de tecnologia com sede nos Estados Unidos.
Relatório de ransomware
Os ataques de Spear phishing são frequentemente usados como um vetor de ataque inicial e a infecção por ransomware costuma ser o estágio final da cadeia de eliminação. Para este relatório, analisamos as detecções de malware coletadas em agosto de 2022 de nossos mecanismos antimalware estáticos. Nota: contamos apenas o total de casos, não o quão monetariamente significativo é o impacto da infecção. Adversários oportunistas e alguns grupos de Ransomware-as-a-Service (RaaS) representam uma porcentagem maior em comparação com grupos que são mais seletivos sobre seus alvos, pois preferem volume a maior valor.
Ao analisar esses dados, lembre-se de que são detecções de ransomware, não infecções.
As 10 principais famílias de ransomware
Analisamos as detecções de malware de 1º a 31 de agosto. No total, identificamos 193 famílias de ransomware. O número de famílias de ransomware detectadas pode variar a cada mês, dependendo das campanhas de ransomware atuais em diferentes países.
10 principais países
No total, detectamos ransomware de 148 países em nosso conjunto de dados este mês. O ransomware continua sendo uma ameaça que atinge quase todo o mundo. Abaixo está uma lista dos 10 principais países mais impactados pelo ransomware. Muitos ataques de ransomware continuam sendo oportunistas e o tamanho da população está correlacionado ao número de detecções.
Trojans em sistemas Android
Abaixo estão os 10 principais trojans direcionados ao Android que vimos em nossa telemetria em agosto de 2022.
Downloader.DN – Aplicativos reempacotados retirados da Google App Store e empacotados com adware agressivo. Alguns adware baixam outras variantes de malware.
SMSSend.AYE - Malware que tenta se registrar como o aplicativo SMS padrão na primeira execução, solicitando o consentimento do usuário. Se for bem-sucedido, ele coleta as mensagens de entrada e saída do usuário e as encaminha para um servidor de Comando e Controle (C&C).
Agent.AQQ - Um malware dropper é um trojan que esconde a carga perigosa dentro de um aplicativo como uma técnica de evasão. Se puder evitar defesas de segurança, essa carga útil será implantada. A carga maliciosa é descriptografada e carregada pelo dropper.
Triada.LC – Malware que reúne informações confidenciais sobre um dispositivo (IDs de dispositivo, IDs de assinante, endereços MAC) e as envia para um servidor C&C malicioso. O servidor C&C responde enviando de volta um link para uma carga útil que o malware baixa e executa.
FakeInst.JU – Malware que tem a capacidade de ler e enviar mensagens de texto. Uma mensagem de texto é enviada para um número premium a cada 1000 segundos. Após a implantação, ele oculta seu ícone do menu do aplicativo e envia dados confidenciais do telefone (IMEI, número de telefone, informações de rede...) para um servidor remoto.
HiddenApp.AID - Adware agressivo que se faz passar por aplicativos AdBlock. Ao executar pela primeira vez, ele pede permissão para exibir em cima de outros aplicativos. Com essa permissão, o aplicativo pode se ocultar do iniciador.
Banker.VQ, OR - Aplicativos que descartam e instalam módulos criptografados. Este trojan concede privilégios de administrador do dispositivo e obtém acesso para gerenciar chamadas telefônicas e mensagens de texto. Após a implantação, ele mantém uma conexão com o servidor C&C para receber comandos e fazer upload de informações confidenciais.
Banker.ZX – Aplicativos que se disfarçam de aplicativos bancários e podem imitar a conversa com o suporte ao cliente. Quando o malware é executado pela primeira vez, ele solicita permissões para acessar contatos, microfone, geolocalização e câmera. Depois que as permissões são concedidas, o malware pode receber comandos do servidor C&C para exfiltrar dados confidenciais do telefone.
Banker.YI - Aplicativos polimórficos que imitam aplicativos legítimos (Google, Facebook, Sagawa Express ...). Uma vez instalado, ele localiza os aplicativos bancários instalados no dispositivo e tenta baixar uma versão trojanizada do servidor C&C.
Relatório de phishing homógrafo
Os ataques homógrafos funcionam para abusar dos nomes de domínio internacionais (IDN). Os agentes de ameaças criam nomes de domínio internacionais que falsificam um nome de domínio de destino. Quando falamos sobre “alvo” de ataques de phishing homógrafos de IDNs, nos referimos ao domínio que os agentes de ameaças estão tentando representar. Você pode ler mais sobre esse tipo de ataque em um de nossos relatórios anteriores.
Abaixo está a lista dos 10 principais alvos mais comuns para sites de phishing.
Conclusão
O Bitdefender Threat Debrief (BDTD) é uma série mensal que analisa notícias, tendências e pesquisas sobre ameaças do mês anterior. Não perca o próximo lançamento do BDTD, assine o blog Business Insights e siga-nos no Twitter . Você pode encontrar todos os relatórios anteriores aqui.
A Bitdefender fornece soluções de segurança cibernética e proteção avançada contra ameaças para centenas de milhões de terminais em todo o mundo. Mais de 150 marcas de tecnologia licenciaram e adicionaram a tecnologia Bitdefender às suas ofertas de produtos ou serviços. Esse vasto ecossistema OEM complementa os dados de telemetria já coletados de nossas soluções comerciais e de consumo. Para dar uma ideia da escala, o Bitdefender Labs descobre mais de 400 novas ameaças a cada minuto e valida 30 bilhões de consultas de ameaças diariamente. Isso nos dá uma das visões em tempo real mais extensas do setor sobre o cenário de ameaças em evolução.
Comments