O relatório "Cybercrime on Main Street", da Sophos, aponta que, em 2023, cerca de 50% das detecções de malware em pequenas e médias empresas foram keyloggers, spywares e stealers, que são softwares maliciosos usados por invasores para roubar dados e credenciais. Posteriormente, os criminosos utilizam essas informações para obter acesso remoto não autorizado a redes, extorquir vítimas, implantar ransomware e muito mais.
O levantamento analisa ainda os corretores de acesso inicial (IABs), atacantes especializados em invadir redes de computadores. Segundo o estudo, eles estão usando a dark web para anunciar suas habilidades e opções de serviços para especificamente atacar redes de PMEs ou vender acessos a companhias que já invadiram.
Exemplo de uma postagem em um fórum da dark web anunciando acesso a uma pequena empresa de contabilidade dos Estados Unidos. Para ver mais anúncios feitos por cibercriminosos direcionados a PMEs, por setor e país, veja o Relatório de Ameaças 2024 da Sophos
"O valor dos 'dados' como unidade monetária aumentou exponencialmente entre os cibercriminosos, e isso é particularmente válido para as PMEs, que tendem a usar um serviço ou aplicativo de software para toda a operação. Por exemplo, digamos que os invasores implantem um infostealer na rede alvo para roubar credenciais e, em seguida, obter a senha do software de contabilidade da empresa. Eles poderiam, então, ter acesso às finanças da companhia e a capacidade de transferir fundos para suas próprias contas", afirma o diretor de pesquisa Sophos X-Ops da Sophos, Christopher Budd. "Há uma razão para mais de 90% de todos os ciberataques relatados à Sophos em 2023 envolverem roubo de dados ou credenciais, seja por meio de ransomware, extorsão de dados, acesso remoto não autorizado ou simplesmente roubo de dados."
Ransomware ainda é a maior ciberameaça para PMEs
Embora o número de ataques de ransomware contra PMEs tenha estabilizado, ele continua a ser a maior ameaça cibernética para esses tipos de empresas. Entre os casos detectados pela Sophos Incident Response (IR), que ajuda organizações sob ataques ativos, o LockBit foi o principal grupo de ransomware a causar estragos. O Akira e o BlackCat ficaram em segundo e terceiro lugar, respectivamente. As organizações estudadas no relatório também enfrentaram ataques de tipos mais antigos e menos conhecidos, como o BitLocker e o Crytox.
Os golpistas seguem mudando as táticas de ransomware, de acordo com o relatório. Isso inclui aproveitar a criptografia remota e focar em provedores de serviços gerenciados (MSPs). Entre 2022 e 2023, o número de ataques de ransomware que envolveram criptografia remota – em que os invasores usam um dispositivo não gerenciado nas redes das organizações para criptografar arquivos em outros sistemas – aumentou 62%. Além disso, no ano passado, a equipe de Managed Detection and Response (MDR) da Sophos respondeu a cinco casos envolvendo pequenas empresas que foram atacadas por meio de um exploit no software de monitoramento e gerenciamento remoto (RMM) de seus MSPs.
Invasores aprimoram ataques de engenharia social e comprometimento de e-mails comerciais
Depois do ransomware, os ataques de comprometimento de e-mail comercial (BEC) foram o segundo maior tipo de ameaça detectado pela Sophos IR em 2023, de acordo com o relatório. Esses tipos de ataques e outras campanhas de engenharia social contêm um nível crescente de sofisticação. Em vez de simplesmente enviar um e-mail com um anexo malicioso, os criminosos agora estão mais propensos a se envolver com seus alvos enviando uma série de e-mails de conversa ou até mesmo telefonemas.
Em uma tentativa de evitar a detecção por ferramentas tradicionais de prevenção de spam, os invasores atualmente estão experimentando novos formatos para enviar conteúdos falsos, incorporando imagens com códigos maliciosos ou enviando anexos no OneNote ou formatos de arquivo.
Em um caso investigado pela Sophos, por exemplo, os atacantes encaminharam um documento PDF com uma miniatura borrada e ilegível de uma "fatura", na qual o botão de download continha um link para um site fraudulento.
