No Relatório de Ameaças deste mês, pedimos a especialistas de nossa equipe de Detecção e Resposta Gerenciada (MDR) para discutir a caça a ameaças, como ela é usada para defesa proativa, bem como alguns dos equívocos mais comuns. Também mergulhamos nas últimas descobertas de Ransomware de nossos laboratórios.
Informações MDR
O que é a caça a ameaças cibernéticas?
A caça a ameaças cibernéticas é uma atividade de defesa cibernética proativa. A palavra-chave é proativo . Os caçadores de ameaças procuram descobrir atividades nefastas que as ferramentas de detecção não detectam. A caça a ameaças usa consultas manuais, alertas SIEM, revisões de log e monitoramento de endpoint ou rede, sozinho ou em combinação, para permitir a detecção de atividades suspeitas ou maliciosas.
Por exemplo, a busca proativa permite que os analistas encontrem um invasor que pode estar se escondendo atrás de credenciais comprometidas e/ou vivendo fora da terra (usando programas, processos e outros locais comuns para ocultar atividades maliciosas). A caça a ameaças cibernéticas é o elemento humano para se defender contra atores de ameaças, especificamente avançados, como estados-nação e atores criminosos sofisticados, como grupos de Ransomware-as-a-Service , conhecidos por permanecerem ocultos muito antes da detecção.
Ao contrário da crença popular de que o tempo de permanência dos adversários (o tempo em que os agentes de ameaças permanecem indetectáveis) tem aumentado constantemente, o oposto é verdadeiro. O mais recente Verizon 2022 DBIR descobriu que, embora o tempo de descoberta tenha diminuído nos últimos anos para a maioria das violações, não é porque as empresas estão melhorando na detecção. A diminuição ocorre porque os próprios agentes de ameaças estão divulgando com mais frequência violações por meio de sites de extorsão e de despejo de dados. As violações que duram meses representam cerca de 20% das violações, de acordo com o DBIR, mas estão em queda constante desde 2017 (quando esse número era de quase 50%).
Isso não é uma boa notícia, pois as organizações agora têm menos tempo para evitar que um incidente de segurança se transforme em uma violação de segurança. A caça proativa de ameaças dá às organizações uma chance de encontrar um invasor escondido na rede antes que o dano seja feito. À medida que os agentes de ameaças mudam seu foco de violação de disponibilidade (ransomware) para violação de confidencialidade (exfiltração de dados), os recursos de detecção e resposta se tornam ainda mais importantes.
Outra maneira de considerar a caça a ameaças é que é uma resposta a incidentes sem incidentes. Os analistas geralmente procuram pistas de campanhas conhecidas e específicas de ameaças cibernéticas, ameaças emergentes sem assinaturas escritas ou táticas comuns entre uma variedade de agentes de ameaças durante “caçadas”.
O que a caça a ameaças cibernéticas não é
Infelizmente, existem alguns equívocos comuns sobre a caça a ameaças. Não é apenas um termo de marketing, é uma camada de segurança que vai além de apenas investigar alertas. A caça a ameaças protege as organizações contra todos os tipos de ameaças: tudo, desde botnets automatizados que fornecem malware comercial até ameaças persistentes avançadas (APT) , que incluem os grupos criminosos mais sofisticados e atores de estados-nações.
Alguns equívocos comuns incluem:
É pen testing”- Falso: Peneration Testing ou Red Teaming é um tipo de hacking ético que tenta avaliar um sistema de segurança e encontrar vulnerabilidades. Embora os caçadores de ameaças possam encontrar vulnerabilidades durante suas buscas rotineiras ou orientadas por inteligência, caso em que eles fornecem recomendações aos clientes, esse não é o único objetivo da busca de ameaças.
“É uma investigação de alerta” - Falso: a triagem de alerta é reativa, na qual uma atividade correspondeu às assinaturas da ferramenta de detecção e alertou uma equipe de segurança para investigar. Uma conclusão importante do DBIR 2022 da Verizon é que o número de etapas que os invasores executam para violar um ambiente é inferior a cinco , na maioria dos casos. Isso significa que, no momento em que um alerta é acionado para atividade maliciosa, é provável que o invasor já tenha feito várias etapas para chegar lá. A caça a ameaças procura proativamente os sinais de um ataque que pode parecer benigno ou está tentando evitar a detecção, ou seja, a atividade antes do alerta.
“Pode ser totalmente automatizado” - Falso: Por trás de cada ataque cibernético há um ser humano que pode mudar de tática, mudar de alvo e mudar para uma nova operação. No final das contas, a automação é tão boa quanto seu código ou assinatura, geralmente significando a descoberta de atividades de ameaças que já são conhecidas, em vez de desconhecidas. O aprendizado de máquina pode ser barulhento no início, e muitos falsos positivos podem levar os defensores a um ajuste de assinatura ineficaz ou levar a uma falsa sensação de segurança. Os analistas de ameaças podem tomar decisões em tempo real e, com base em sua experiência, podem procurar comportamentos anormais, como usuários acessando sistemas ou arquivos que não deveriam, criando novas pastas, copiando ou baixando arquivos ou fazendo login em horários irregulares. Os analistas normalmente confirmam se a atividade é maliciosa ou não.
Caça a ameaças pela detecção e resposta gerenciada do Bitdefender (MDR)
Os analistas de MDR da Bitdefender começam com uma linha de base do ambiente de um cliente, procurando entender todos os fatores em jogo: desde a compreensão das tecnologias presentes no ambiente até a arquitetura de rede e os principais usuários ou terceiros com acesso. Os analistas de MDR geralmente operam com ações pré-aprovadas pelo cliente, normalmente entrando em contato com os clientes para verificar a atividade legítima, recomendando as melhores práticas ou, por exemplo, desligando o acesso à rede a uma máquina potencialmente comprometida durante um incidente.
Os analistas de MDR da Bitdefender também operam com acesso à inteligência mais recente, o que ajuda a entender as ameaças emergentes, como novos agentes de ameaças ou agentes conhecidos que mudaram suas táticas. Eles podem consistir em ameaças focadas no setor, no local e na tecnologia que podem afetar vários clientes ou uma ameaça direcionada que é ajustada para um único cliente. Os analistas de MDR e Cyber Intelligence Fusion Cell geralmente trabalham em estreita colaboração para identificar as ameaças mais recentes e desenvolver pacotes de caça a ameaças orientados por inteligência para capturar essas novas ameaças no ato.
A caça a ameaças cibernéticas é uma busca proativa em um ambiente para caçar atividades maliciosas, suspeitas ou arriscadas que escaparam da detecção pelas ferramentas existentes. investimento; ou, para usar mal uma frase comum, um ponto a tempo economiza milhões em custos pós-violação.
Relatório de ransomware
Os ataques de Spear phishing são frequentemente usados como um vetor de ataque inicial e a infecção por ransomware costuma ser o estágio final da cadeia de eliminação. Para este relatório, analisamos as detecções de malware coletadas em julho de 2022 de nossos mecanismos antimalware estáticos. Nota: contamos apenas o total de casos, não o quão monetariamente significativo é o impacto da infecção. Adversários oportunistas e alguns grupos de Ransomware-as-a-Service (RaaS) representam uma porcentagem maior em comparação com grupos que são mais seletivos sobre seus alvos, pois preferem volume a maior valor.
Ao analisar esses dados, lembre-se de que são detecções de ransomware, não infecções.
As 10 principais famílias de ransomware
Analisamos as detecções de malware de 1º a 31 de julho. No total, identificamos 205 famílias de ransomware . O número de famílias de ransomware detectadas pode variar a cada mês, dependendo das campanhas atuais de ransomware em diferentes países.
10 principais países
No total, detectamos ransomware de 151 países em nosso conjunto de dados este mês. O ransomware continua sendo uma ameaça que atinge quase todo o mundo. Abaixo está uma lista dos 10 principais países mais impactados pelo ransomware. Muitos ataques de ransomware continuam sendo oportunistas e o tamanho da população está correlacionado ao número de detecções.
Trojans em sistemas Android
Abaixo estão os 10 principais trojans direcionados ao Android que vimos em nossa telemetria durante julho de 2022.
Downloader.DN – Aplicativos reempacotados retirados da Google App Store e empacotados com adware agressivo. Alguns adware baixam outras variantes de malware.
SMSSend.AYE - Malware que tenta se registrar como o aplicativo SMS padrão na primeira execução, solicitando o consentimento do usuário. Se for bem-sucedido, ele coleta as mensagens de entrada e saída do usuário e as encaminha para um servidor de Comando e Controle (C&C).
Triada.LC – Malware que reúne informações confidenciais sobre um dispositivo (IDs de dispositivo, IDs de assinante, endereços MAC) e as envia para um servidor C&C malicioso. O servidor C&C responde enviando de volta um link para uma carga útil que o malware baixa e executa.
Banker.ZX – Aplicativos que se disfarçam de aplicativos bancários e podem imitar a conversa com o suporte ao cliente. Quando o malware é executado pela primeira vez, ele solicita permissões para acessar contatos, microfone, geolocalização e câmera. Depois que as permissões são concedidas, o malware pode receber comandos do servidor C&C para exfiltrar dados confidenciais do telefone.
Agent.AQQ - Um malware dropper é um trojan que esconde a carga perigosa dentro de um aplicativo como uma técnica de evasão. Se puder evitar defesas de segurança, essa carga útil será implantada. A carga maliciosa é descriptografada e carregada pelo dropper.
Agent.AQF - Um malware dropper é um trojan que esconde a carga perigosa dentro de um aplicativo como uma técnica de evasão. Se puder evitar defesas de segurança, essa carga útil será implantada. A carga maliciosa é armazenada como base64 em arquivos de recursos.
HiddenApp.AID - Adware agressivo que se faz passar por aplicativos AdBlock. Ao executar pela primeira vez, ele pede permissão para exibir em cima de outros aplicativos. Com essa permissão, o aplicativo pode se ocultar do iniciador.
Marcher.AR – Aplicativos que se disfarçam de aplicativos da Play Store. O malware tenta solicitar permissões de acessibilidade para capturar pressionamentos de tecla e usa a função de gravação de tela VNC para registrar a atividade do usuário no telefone.
SpyAgent.EQ - Aplicativos que exfiltram dados confidenciais, como mensagens SMS, registros de chamadas, contatos ou localização GPS.
Banker.YI - Aplicativos polimórficos que imitam aplicativos legítimos (Google, Facebook, Sagawa Express ...). Uma vez instalado, ele localiza os aplicativos bancários instalados no dispositivo e tenta baixar uma versão trojanizada do servidor C&C.
Relatório de phishing homógrafo
Os ataques homógrafos funcionam para abusar dos nomes de domínio internacionais (IDN). Os agentes de ameaças criam nomes de domínio internacionais que falsificam um nome de domínio de destino. Quando falamos sobre “alvo” de ataques de phishing homógrafos de IDNs, nos referimos ao domínio que os agentes de ameaças estão tentando representar. Você pode ler mais sobre esse tipo de ataque em um de nossos relatórios anteriores.
Abaixo está a lista dos 10 principais alvos mais comuns para sites de phishing.
Conclusão
O Bitdefender Threat Debrief (BDTD) é uma série mensal que analisa notícias, tendências e pesquisas sobre ameaças do mês anterior. Não perca o próximo lançamento do BDTD, assine o blog Business Insights e siga-nos no Twitter . Você pode encontrar todos os relatórios anteriores aqui.
A Bitdefender fornece soluções de segurança cibernética e proteção avançada contra ameaças para centenas de milhões de terminais em todo o mundo. Mais de 150 marcas de tecnologia licenciaram e adicionaram a tecnologia Bitdefender às suas ofertas de produtos ou serviços. Esse vasto ecossistema OEM complementa os dados de telemetria já coletados de nossas soluções comerciais e de consumo. Para dar uma ideia da escala, o Bitdefender Labs descobre mais de 400 novas ameaças a cada minuto e valida 30 bilhões de consultas de ameaças diariamente. Isso nos dá uma das visões em tempo real mais extensas do setor sobre o cenário de ameaças em evolução.
Comments