A Elastic anunciou nesta quinta-feira, 19, seu segundo Elastic Global Threat Report, emitido pelo Elastic Security Labs. Com base em observações de mais de mil milhões de pontos de dados nos últimos 12 meses, o relatório revela que o ransomware está a expandir-se e a diversificar-se; mais da metade de todas as infecções por malware observadas ocorreram em sistemas Linux; e as técnicas de acesso a credenciais tornaram-se uma parte essencial do processo de intrusão na nuvem.
As principais conclusões do relatório incluem:
Tendências de malware
A maioria dos malwares observados era composta por um pequeno número de famílias de ransomware altamente prevalentes e ferramentas comerciais prontas para uso (COTS). À medida que as comunidades de ameaças com motivação financeira adotam ou oferecem capacidades de malware como serviço (MaaS), as empresas devem investir fortemente no desenvolvimento de funções de segurança com ampla visibilidade de comportamentos de baixo nível para expor ameaças anteriormente não descobertas.
- BlackCat, Conti, Hive, Sodinokibi e Stop são as famílias de ransomware mais prevalentes que identificamos por meio de assinaturas, representando cerca de 81% de todas as atividades de ransomware.
- Os recursos de malware COTS, como Metasploit e Cobalt Strike, representaram 5,7% de todos os eventos de assinatura. No Windows, essas famílias representaram cerca de 68% de todas as tentativas de infecção.
- Cerca de 91% dos eventos de assinatura de malware vieram de endpoints Linux, enquanto os endpoints Windows representaram apenas cerca de 6%.
Tendências de comportamento de endpoint
Os grupos de ameaças mais sofisticados escapam à segurança retirando-se para dispositivos, dispositivos e outras plataformas de ponta onde a visibilidade é mais baixa. Como nunca antes, o relatório destaca a necessidade de as empresas avaliarem a natureza resistente à violação dos seus sensores de segurança de terminais e considerarem projetos de monitorização para rastrear drivers de dispositivos vulneráveis utilizados para desativar tecnologias de segurança. Além disso, as organizações com grandes ambientes Windows devem rastrear drivers de dispositivos vulneráveis para desabilitar essas tecnologias essenciais.
- Quando analisadas em conjunto, a Execução e a Evasão de Defesa representam mais de 70% de todos os alertas de endpoint.
- A Elastic observou as técnicas mais discretas em endpoints Windows, sendo o principal alvo dos adversários com 94% de todos os alertas de comportamento de endpoint, seguida pelo macOS com 3%.
- O despejo de credenciais específicas do macOS foi responsável por surpreendentes 79% de todas as técnicas de acesso de credenciais por parte de adversários, um aumento de aproximadamente 9% desde o ano passado. Dessas tentativas, observamos que os ambientes Windows onde ProcessDump.exe, WriteMiniDump.exe e RUNDLL32.exe foram usados mais de 78% do tempo.
Tendências de segurança na nuvem
À medida que as empresas migram cada vez mais recursos locais para ambientes híbridos ou totalmente baseados em nuvem, os agentes de ameaças aproveitam configurações incorretas, controles de acesso frouxos, credenciais não seguras e nenhum modelo funcional de princípio de privilégio mínimo (PoLP). As organizações podem reduzir drasticamente o risco de comprometimento implementando os recursos de segurança que seus provedores de nuvem já suportam e monitorando tentativas comuns de abuso de credenciais.
- Para Amazon Web Services, a Elastic observou evasão de defesa (38%), acesso a credenciais (37%) e execução (21%) como as táticas mais comuns mapeadas para sinais de detecção de ameaças.
- 53% dos eventos de acesso a credenciais estavam vinculados a contas legítimas do Microsoft Azure comprometidas.
- O Microsoft 365 apresentou uma alta taxa de sinais de acesso a credenciais, representando 86%.
- 85% dos sinais de detecção de ameaças do Google Cloud estavam relacionados à evasão de defesa.
- A descoberta foi responsável por aproximadamente 61% de todos os sinais específicos do Kubernetes, predominantemente relacionados a solicitações inesperadas de contas de serviço que foram negadas.
“O cenário de ameaças atual é verdadeiramente sem fronteiras, à medida que os adversários se transformam em empresas criminosas focadas em monetizar suas estratégias de ataque”, disse Jake King, chefe de inteligência de segurança e diretor de engenharia da Elastic. “O código aberto, o malware comum e o uso de IA reduziram a barreira de entrada para invasores, mas também estamos vendo o surgimento de sistemas automatizados de detecção e resposta que permitem que todos os engenheiros defendam melhor suas infraestruturas. É um jogo de gato e rato, e nossas armas mais fortes são a vigilância e o investimento contínuo em novas tecnologias e estratégias de defesa.”
