A CrowdStrike anunciou nessa terça-feira, 8, o lançamento do Relatório de Investigação de Ameaças 2023. A sexta edição do relatório, que abrange as tendências de ciberataque e técnicas de negociação dos invasores, são análises feitas pelos caçadores de ameaças e analistas de inteligência de elite da CrowdStrike. O estudo revela que houve um aumento expressivo nas invasões baseadas em identidade, crescimento nas habilidades dos invasores em atacar nuvem, uso três vezes maior de ferramentas legítimas de monitoramento e gerenciamento remoto (RMM) pelos invasores e um recorde no tempo de fuga dos invasores.
O relatório abrange a atividade dos invasores de julho de 2022 a junho de 2023 e é o primeiro a ser publicado pela nova equipe de Operações Contra Adversários da CrowdStrike, anunciada oficialmente nesta semana no evento Black Hat USA 2023.
As principais conclusões incluem:
O aumento de 583% nos ataques de identidade Kerberoasting destaca uma expansão massiva nas intrusões baseadas em identidade: A CrowdStrike detectou um aumento alarmante de quase 6 vezes em relação ao ano anterior nos ataques por meio da técnica que os invasores utilizam para obter credenciais válidas para contas de serviço do Active Directory (banco de dados e um conjunto de serviços que conectam os usuários aos recursos de rede de que precisam para realizar seu trabalho). O Kerberoasting muitas vezes fornece aos autores mais privilégios e permite que eles não sejam detectados nos ambientes das vítimas por períodos mais longos. No geral, 62% de todas as intrusões interativas envolveram o uso indevido de contas válidas, enquanto houve um aumento de 160% nas tentativas de obter chaves sigilosas e outras credenciais por meio de metadados de APIs de nuvem.
Aumento de 312% em relação ao ano anterior no uso de ferramentas legítimas de RMM pelos invasores: Dando mais credibilidade aos relatórios da CISA, os adversários estão usando cada vez mais aplicativos legítimos e conhecidos de gerenciamento remoto de TI para evitar a detecção e se misturar ao ruído da empresa para acessar dados confidenciais, implantar ransomware ou instalar táticas de acompanhamento mais personalizadas.
Foi registrado um recorde de Breakout Time de 79 minutos em 2023, ou seja, o tempo médio que um invasor leva para se mover lateralmente do início do ataque para outros hosts no ambiente da vítima caiu de 84 minutos em 2022 para um recorde de 79 minutos em 2023. Porém, o recorde até hoje foi de apenas sete minutos, registrado em 2023 também.
O setor financeiro registrou um aumento de 80% em relação ao ano anterior nas intrusões interativas: definidas como intrusões que usam atividades práticas de teclado, tiveram um aumento geral de 40%.
Comunidades de cibercriminosos divulgaram 147% mais anúncios de Access Broker em comunidades criminosas ou clandestinas: credenciais válidas para venda reduz a barreira de entrada para os atacantes que desejam realizar operações criminosas e permite que os invasores estabelecidos aprimorem suas técnicas de negociação pós-exploração para atingir seus objetivos com mais eficiência. Além disso, houve um aumento de 60% de vendas dessas credenciais na dark web.
O uso de ferramentas de escalonamento de privilégios do Linux pelos invasores triplicou, a fim de explorar ambientes de nuvem: O Falcon OverWatch testemunhou um aumento de três vezes na ferramenta Linux linPEAS, que os invasores usam para obter acesso a metadados da nuvem, atributos de rede e várias credenciais que eles podem explorar.
"Em 2022 rastreamos mais de 215 invasores e percebemos um cenário de riscos que cresceu em complexidade e profundidade à medida que os autores das ameaças se voltam para novas táticas e plataformas, como o uso ilícito de credenciais válidas para atacar vulnerabilidades na nuvem e no software", afirma Adam Meyers, chefe de Operações de Combate a Invasores da CrowdStrike. "Quando falamos em impedir violações, não podemos ignorar o fato de que os invasores estão ficando mais rápidos e que estão adotando táticas intencionalmente projetadas para burlar os métodos tradicionais de detecção. Os líderes de segurança precisam perguntar às suas equipes se elas têm as soluções necessárias para interromper o movimento lateral de um invasor em apenas sete minutos", acrescenta Meyers.
