Cibercriminosos estão a explorar novas vulnerabilidades do setor

Inverter a maré contra o cibercrime exige uma cultura de colaboração, transparência e responsabilidade a uma escala maior do que apenas a realizada por organizações individuais no espaço da cibersegurança.
23 de Maio, 2024

O  Global Threat Landscape Report, da FortiGuard Labs, relativo ao 2º semestre de 2023 faz uma radiografia ao cenário de ameaças e destaca as tendências de julho a dezembro de 2023, incluindo análises sobre a velocidade com que os atacantes cibernéticos estão a capitalizar sobre as explorações recém-identificadas e o aumento de ações de ransomware e wipers direcionadas ao setor industrial e de tecnologia operacional (OT).

À semelhança do Global Threat Landscape Report do 1º semestre de 2023, a equipa que trabalhou neste relatório procurou determinar quanto tempo demora para que uma vulnerabilidade passe do lançamento à exploração; se as vulnerabilidades com uma pontuação alta no Exploit Prediction Scoring System (EPSS) são exploradas de forma mais célere; e se era possível prever o tempo médio até à exploração usando dados do EPSS. Com base nesta análise, a equipa verificou que no segundo semestre de 2023 os atacantes aumentarem a velocidade com que capitalizaram em vulnerabilidades recém-publicadas (43% mais rápido do que no primeiro semestre de 2023). Este facto vem reforçar a necessidade de os fornecedores se dedicarem internamente à descoberta de vulnerabilidades e ao desenvolvimento de patches antes que a exploração possa ocorrer (mitigar vulnerabilidades de Dia Zero). Reforça igualmente a necessidade de os fornecedores divulgarem proactivamente, e de forma transparente, as vulnerabilidades aos clientes para garantir que estes têm as informações necessárias para proteger eficazmente os seus ativos antes que os adversários cibernéticos possam explorar vulnerabilidades de Dia-N.

    Algumas vulnerabilidades de Dia-N permanecem sem patches há mais de 15 anos: Não são apenas as vulnerabilidades recém-identificadas que preocupam os CISO e as equipas de segurança. A telemetria da Fortinet descobriu que 41% das organizações detetaram explorações a partir de assinaturas com menos de um mês e praticamente todas as organizações (98%) detetaram vulnerabilidades de Dia-N que existem há pelo menos cinco anos. O FortiGuard Labs também continua a detetar agentes de ameaças a explorar vulnerabilidades que têm mais de 15 anos, reforçando a necessidade de se manter vigilante sobre a higiene de segurança e um lembrete contínuo para as organizações agirem rapidamente através de um programa consistente de patching e atualizações, empregando melhores práticas e orientações de organizações como a Network Resilience Coalition para melhorar a segurança geral das redes.

    Menos de 9% de todas as vulnerabilidades de endpoint conhecidas foram alvo de ataques: Em 2022, a FortiGuard Labs introduziu o conceito de “zona vermelha“, que ajuda os leitores a entender melhor a probabilidade de os atores de ameaças explorarem vulnerabilidades específicas. Para ilustrar este ponto, os três últimos relatórios analisaram o número total de vulnerabilidades direcionadas a endpoints. No 2.º semestre de 2023, o relatório descobriu que 0,7% de todos os CVEs observados em endpoints estão realmente sob ataque, revelando uma superfície de ataque ativa muito menor para as equipas de segurança se concentrarem e priorizarem os esforços de correção.  

      Os Botnets mostraram uma impressionante resiliência, levando em média 85 dias para que as comunicações de comando e controlo (C2) cessassem após a primeira deteção: Embora o tráfego de bots tenha permanecido estável em relação ao primeiro semestre de 2023, a FortiGuard Labs continuou a ver os botnets mais proeminentes dos últimos anos, como Gh0st, Mirai e ZeroAccess. Mas três novos botnets surgiram no segundo semestre de 2023: AndroxGh0st, Prometei e DarkGate.

          38 dos 143 grupos de ameaças persistentes avançadas (APT) listados pelo MITRE estiveram ativos durante o 2º semestre de 2023: As informações do FortiRecon, o serviço de proteção contra riscos digitais da Fortinet, indicam que 38 dos 143 grupos que o MITRE acompanha, estavam ativos no 2º semestre de 2023. Destes, o Grupo Lazarus, Kimusky, APT28, APT29, Andariel e OilRig foram os mais ativos. Dada a natureza direcionada e as campanhas de duração relativamente curta dos APT e dos grupos cibernéticos de cada Estado, em comparação com as campanhas de longa duração e prolongadas dos cibercriminosos, a evolução e o volume de atividade nessa área é algo que a FortiGuard Labs acompanhará de forma contínua.

            O Discurso da Dark Web

            O Global Threat Landscape Report do 2º semestre de 2023 também inclui dados do FortiRecon, que dão uma ideia do discurso entre os agentes de ameaças em fóruns da dark web, mercados, canais do Telegram e outras fontes. Algumas destes dados revelam:

            • Os agentes de ameaças discutiram com mais frequência a segmentação de organizações no setor financeiro, seguidos pelos serviços empresariais e pela educação.
            • Mais de 3.000 violações de dados foram partilhadas em fóruns importantes da dark web
            • 221 vulnerabilidades foram discutidas na darknet, e 237 no Telegram.
            • Mais de 850 000 cartões de pagamento foram postos à venda.

            Remar contra o cibercrime

            Com a superfície de ataque em constante expansão e uma escassez de competências de cibersegurança em toda a indústria, é cada vez mais desafiante para as empresas gerirem adequadamente uma infraestrutura complexa composta por soluções díspares, e ainda mais difícil acompanhar o volume de alertas de produtos pontuais e as diversas táticas, técnicas e procedimentos que os atores de ameaças utilizam para comprometer as suas vítimas.

            Inverter a maré contra o cibercrime exige uma cultura de colaboração, transparência e responsabilidade a uma escala maior do que apenas a realizada por organizações individuais no espaço da cibersegurança. Cada organização têm um papel na interrupção das ciberameaças. A colaboração com organizações respeitadas de alto nível dos sectores público e privado, incluindo CERTs, entidades governamentais e académicas, é um aspeto crucial do compromisso da Fortinet para melhorar a resiliência cibernética a nível global.

            É através da constante inovação tecnológica e da colaboração entre indústrias e grupos de trabalho, como a Cyber Threat Alliance, Network Resilience Coalition, Interpol, o World Economic Forum (WEF) Partnership Against Cybercrime, e o WEF Cybercrime Atlas, que se conseguirá melhorar coletivamente as proteções e ajudar na luta contra o crime cibernético a nível mundial.