A Microsoft divulgou nesta terça-feira, 15, o seu Relatório Anual de Defesa Digital, que aborda a crescente ameaça cibernética global e a necessidade de uma defesa e cooperação mais robustas.
O relatório abordou importantes pontos, como o aumento significativo nas ameaças cibernéticas globais, impulsionadas por atividades de espionagem e operações de influência, a continuidade do ransomware como a principal ameaça cibernética e golpes de tecnologia disparando 400% desde 2022, e a necessidade de uma defesa coletiva, envolvendo o setor privado, público, organizações sem fins lucrativos e a sociedade civil, para enfrentar essas ameaças de forma eficaz.
"Os clientes da Microsoft enfrentam mais de 600 milhões de ataques de cibercriminosos e de agentes estatais todos os dias, variando de ransomware a phishing e ataques de identidade. Novamente, agentes de ameaças afiliados a Estados demonstraram que as operações cibernéticas – seja para espionagem, destruição ou influência – desempenham um papel de apoio persistente em conflitos geopolíticos mais amplos. Alimentando também a escalada dos ataques cibernéticos, estamos vendo evidências crescentes do conluio de gangues de crimes cibernéticos com grupos de ligados a Estados compartilhando ferramentas e técnicas.", afirma Tom Burt, vice-presidente corporativo de Segurança e Confiança do Cliente da Microsoft.
Ransomware segue como preocupação
A Microsoft observou um aumento de 2,75 vezes no número de ataques operados por humanos associados a ransomware em comparação com o ano anterior. Apesar do aumento no número de encontros com esse modelo de ataque, o percentual de ataques que chegaram à fase de criptografia diminuiu três vezes nos últimos dois anos, graças à interrupção automática de ataques.
Assim como nos últimos anos, as técnicas de acesso inicial mais comuns continuam sendo engenharia social (phishing de e-mail, SMS e voz), comprometimento de identidade e exploração de vulnerabilidades em aplicações expostas ou sistemas operacionais não corrigidos.
"Após comprometer uma organização, os agentes de ameaça geralmente começam manipulando suas soluções de segurança. Ao desativar ou alterar as defesas, os atacantes ganham tempo para instalar ferramentas maliciosas, exfiltrar dados para espionagem ou extorsão e, potencialmente, lançar ataques como ransomware. A Microsoft observa consistentemente um número prolífico de ataques envolvendo a manipulação de antivírus. Em maio de 2024, o Microsoft Defender XDR detectou mais de 176.000 incidentes envolvendo a manipulação de configurações de segurança, afetando mais de 5.600 organizações. Em média, durante esse período, as organizações que encontraram atividades de manipulação tiveram mais de 31 tentativas.", afirmou a empresa
"Depois de estabelecer um ponto de apoio em uma rede, os atacantes realizam reconhecimento para identificar as ferramentas de segurança em uso ou podem testar as medidas de segurança implantando ferramentas ou cargas úteis, como malwares comuns. Se forem detectados e bloqueados, os invasores podem, em vez disso, manipular os produtos de segurança que encontrarem. Em geral, os atacantes buscam obter acesso a contas privilegiadas dentro de um ambiente comprometido para que possam usar privilégios elevados para configurar quaisquer definições de política, incluindo a modificação de configurações de segurança.", completou.
De acordo com a Microsoft, atualmente existem técnicas para desativar ou alterar políticas de segurança, incluindo modificações no Registro do Windows; uso de ferramentas maliciosas, como NSudo (Defeat Defender), Defender Control, Configure Defender e ToggleDefender; scripts e comandos personalizados maliciosos em PowerShell ou batch; e manipulação de drivers.
Outro dado pertinente trazido pelo report, foi que ao todo apenas 5 grupos representaram um total de 51% dos ataques operados por humanos:
Akira (17%)
Lockbit (15%)
Play (7%)
Blackcat (6%)
Basta (6%).
Esses grupos continuam utilizando técnicas antigas, assim demonstrando sua eficácia mesmo diante do aumento da conscientização sobre cibersegurança e da maior capacidade de proteção em todo o mundo.
Para combater essa ameaça a Microsoft segue realizando diversos trabalhos, como iniciativas para reunir especialistas da indústria e da aplicação da lei para compartilhar inteligência sobre ameaças e evidências relacionadas a atores de ransomware, ajudando na interrupção das capacidades técnicas desses grupos?.
Acesse o relatório completo aqui.
