A Trellix, empresa especializada na detecção e resposta estendida (XDR), divulgou o Relatório de Ameaça: fevereiro de 2023 de seu Advanced Research Center (Centro de Pesquisa Avançado), examinando as tendências de segurança cibernética do último trimestre de 2022.
"O quarto trimestre viu atores mal-intencionados ultrapassarem os limites dos vetores de ataque", disse John Fokker, chefe de inteligência de estratégias do Trellix Advanced Research Center. "O conflito da zona cinzenta e o hacktivismo levaram a um aumento da atividade cibernética em assuntos governamentais e nos sites de atores de ameaça atuando em cibercrime. À medida que o clima econômico muda, as organizações precisam obter a segurança mais eficaz com recursos reduzidos."
O relatório inclui evidências de atividade maliciosa vinculada à ransomware e atores de ameaças persistentes avançadas (APT) com apoio de estado-nação e examina ameaças a e-mail, uso mal-intencionado de ferramentas de segurança legítimas e muito mais. As principais descobertas incluem:
· LockBit 3.0 mais agressivo com demandas de resgate: embora não seja mais o grupo de ransomware mais ativo com base na telemetria Trellix – as famílias de ransomware Cuba e Hive geraram mais detecções no quarto trimestre – o site de vazamento da organização cibercriminosa LockBit relatou o maior número de vítimas. Isso torna o LockBit o mais veemente em pressionar suas vítimas a cumprir as exigências de resgate. Esses cibercriminosos usam uma variedade de técnicas para executar suas campanhas, incluindo a exploração de vulnerabilidades encontradas desde 2018.
· Atividade do estado-nação liderada pela China: atores APT ligados à China, incluindo Mustang Panda e UNC4191, foram os mais ativos no trimestre, gerando um total de 71% da atividade detectada apoiada pelo estado-nação. Seguiram-se atores ligados à Coreia do Norte, Rússia e Irã. Os mesmos quatro países classificaram os atores APT mais ativos em relatórios públicos.
· Setores de infraestrutura crítica mais visados: os Sectors across critical infrastructure (Setores de infraestrutura crítica) foram os mais afetados por ameaças cibernéticas. A Trellix observou 69% das atividades maliciosas detectadas vinculadas a atores APT apoiados por estados-nação visando transporte e remessa, seguidos por energia, petróleo e gás. De acordo com a telemetria da Trellix, finanças e saúde estavam entre os principais setores visados por agentes de ransomware, e telecomunicações, governo e finanças entre os principais setores visados por e-mail malicioso.
· E-mails falsos de CEO levaram ao comprometimento de e-mail comercial: a Trellix determinou que 78% do comprometimento de e-mail comercial (BEC) envolvia e-mails falsos de CEO usando frases comuns de CEO. Este foi um aumento de 64% do terceiro trimestre para o quarto trimestre de 2022. As táticas incluíam pedir aos funcionários que confirmassem seu número de telefone direto para executar um esquema de phishing por voz – ou vishing. 82% foram enviados usando serviços de e-mail gratuitos, o que significa que os agentes de ameaças não precisam de infraestrutura especial para executar suas campanhas.
O Relatório de Ameaça: fevereiro de 2023 inclui dados proprietários da rede de sensores da Trellix, investigações sobre atividades cibercriminosas e de estado-nação pelo Trellix Advanced Research Center, inteligência de código aberto e fechado e sites de vazamento de atores de ameaças. O relatório é baseado na telemetria relacionada à detecção de ameaças, quando um arquivo, URL, endereço IP, e-mail suspeito, comportamento de rede ou outro indicador é detectado e relatado pela Trellix XDR platform.
