Sophos alerta sobre comercialização de crimes cibernéticos por hackers e criação de páginas de recrutamento para novos invasores

Relatório de Ameaças Sophos 2023 indica aumento de roubos de credenciais e inovação em ransomware, que continua a ser uma ameaça para as organizações

A Sophos, líder mundial em inovação e entrega de cibersegurança como serviço, publicou o Relatório de Ameaças 2023, em que detalha como o cenário de ameaças cibernéticas atingiu um novo nível de comercialização e conveniência para potenciais invasores, com quase todas as barreiras de entrada sendo removidas por meio da expansão dos crimes cibernéticos vendidos como um serviço – o “cybercrime-as-a-service”. O relatório também aborda como o ransomware continua sendo uma das maiores ameaças para organizações com operadores que inovam suas táticas de extorsão, além do crescimento da demanda por credenciais roubadas. 

Há muito tempo, mercados clandestinos de criminosos como Genesis permitiram a compra e serviços de implantação de malware (“malware-as-a-service”), bem como a venda de credenciais roubadas e outros dados em massa. Durante a última década, com o crescimento do ransomware, surgiu todo um mercado de “ransomware-as-a-service”. Em 2022, este modelo “as-a-service” se expandiu, e quase todos os aspectos do pacote de ferramentas de crimes cibernéticos – da infecção inicial às formas de evitar a detecção – estão disponíveis para compra. 

“Esta não é apenas a tarifa usual, como malware, scamming e kits de phishing para venda”, explica Sean Gallagher, principal pesquisador de ameaças da Sophos. “Os cibercriminosos de alto escalão estão vendendo ferramentas e recursos que anteriormente só eram vistos na atuação de invasores mais experientes”. Por exemplo, no ano passado, vimos anúncios de “OPSEC-as-a-service” onde era comercializada uma ajuda aos criminosos para esconder infiltrações de Cobalt Strike, e a “scanning-a-service”, que dá aos compradores acesso a ferramentas comerciais legítimas como o Metasploit, para que possam encontrar e explorar vulnerabilidades. A comoditização de quase todos os componentes de crimes cibernéticos está impactando o cenário de ameaças e abrindo oportunidades para qualquer tipo de invasor, independentemente do nível de habilidade”.

Com a expansão da indústria “as-a-service”, os mercados clandestinos de cibercriminosos também estão se tornando cada vez mais “comoditizados”, atuando em operações como grandes empresas. Os vendedores de cibercrimes não estão apenas anunciando seus serviços, mas também listando ofertas de emprego para recrutar invasores com habilidades específicas. Alguns mercados agora têm páginas dedicadas ao recrutamento de mão-de-obra, enquanto os que buscam emprego, estão publicando resumos de suas habilidades e qualificações. 

“Os primeiros operadores de ransomware eram mais limitados em suas ações, porque suas operações eram centralizadas – os membros do grupo estavam realizando todas as etapas de um ataque. Mas, como o ransomware se tornou extremamente lucrativo, eles encontraram maneiras de aumentar a escala de suas produções. Assim, eles começaram a terceirizar partes de suas operações, criando toda uma infraestrutura para apoiar o ransomware. Agora, outros cibercriminosos aproveitaram o sucesso desta estrutura e estão seguindo o exemplo”, reforça Gallagher. 

À medida que a infraestrutura do crime cibernético se expandiu, o serviço de ransomware cresceu e permaneceu altamente lucrativo. No último ano, os operadores de ransomware trabalharam na expansão de seu serviço de ataque potencial, visando outras plataformas além do Windows, ao mesmo tempo em que adotaram novas linguagens como Rust and Go para evitar a detecção. Alguns grupos, principalmente o Lockbit 3.0, têm diversificado suas operações e criado formas mais inovadoras de extorsão.

“Quando falamos da crescente sofisticação do crime clandestino, isto se estende ao mundo do ransomware. Por exemplo, a Lockbit 3.0 está agora oferecendo programas de recompensa de bugs por seu malware e ideias de ‘crowd-sourcing’, para melhorar suas operações a partir da comunidade criminosa. Outros grupos passaram a adotar um ‘modelo de assinatura’ para ter acesso a dados de vazamento e outros que estão sendo leiloados. O ransomware se tornou, sobretudo, um negócio”, destaca Gallagher.

A evolução econômica da clandestinidade não só incentivou o crescimento do ransomware e da indústria “as-a-service”, mas também aumentou a demanda por roubo de credenciais. Com a expansão dos serviços web, vários tipos de credenciais, especialmente cookies, podem ser usados de diversas maneiras para ganhar uma presença mais sólida nas redes, mesmo contornando a autenticação multifator. O roubo de credenciais continua sendo uma das formas mais fáceis para os criminosos menos experientes terem acesso aos mercados clandestinos e iniciarem sua “carreira”.

A Sophos também analisou as seguintes tendências:

• A guerra na Ucrânia teve repercussões globais para o cenário de ameaças cibernéticas. Imediatamente após a invasão, houve uma explosão de esquemas financeiros, enquanto o conflito trouxe, também, um abalo nas alianças criminosas entre ucranianos e russos, particularmente entre os parceiros de ransomware;

• Os criminosos continuam explorando executáveis legítimos e utilizando os LOLBins – abreviação de “viver dos binários da terra”, termo para executáveis que já fazem parte do sistema operacional. O objetivo é lançar vários tipos de ataques, incluindo os de ransomware. Em alguns casos, os criminosos empregam drivers de sistema legítimos, mas vulneráveis, em ataques com a técnica “traga seu próprio driver” para tentar desativar os EDRs (Endpoint Detection and Response), utilizados para a mitigar ameaças cibernéticas;

• Os dispositivos móveis se tornaram o centro de novos tipos de crimes. Não só os invasores continuam a usar aplicativos falsos para introduzir malwares, spywares e malwares bancários, mas novas formas de fraude cibernética têm aumentado, tais como esquemas de “pig butchering” – ou “abate de porcos”. O golpe financeiro de longo prazo busca convencer a vítima a investir grandes valores em supostas plataformas comerciais. Esses crimes não estão mais afetando somente os usuários de Android, mas também os usuários de iOS;

• A desvalorização de Monero, uma das mais conhecidas criptomoedas, levou a uma diminuição em um dos mais antigos e maioress tipos de crimes criptográficos. Mas o malware de mineração continua a se espalhar por meio de  de “bots” automatizados, tanto em sistemas Windows, quanto Linux.

Para saber mais sobre as mudanças no cenário de ameaças em 2022 e o que isso significa para as equipes de segurança em 2023, leia o Relatório de Ameaças 2023 da Sophos na íntegra.

O Relatório de Ameaças 2023 da Sophos consiste de pesquisas e insights da Sophos X-Ops, nova unidade interoperacional que liga três equipes de especialistas em cibersegurança da Sophos (SophosLabs, Sophos SecOps e Sophos AI). O Sophos X-Ops inclui mais de 500 especialistas em segurança cibernética ao redor do mundo, exclusivamente preparados para oferecer um quadro completo e multidisciplinar de um cenário de ameaças cada vez mais complexo. Para saber mais sobre ciberataques e TTPs diários, siga os X-Ops da Sophos no Twitter e inscreva-se para receber artigos e relatórios atuais de pesquisa de ameaças e operações de segurança das linhas de frente da segurança cibernética.  

Sobre a Sophos 

A Sophos é líder mundial e inovadora em soluções avançadas de cibersegurança, incluindo Detecção e Resposta Gerenciada (MDR), serviços de atendimento a incidentes e um vasto portfólio de tecnologias de endpoint, rede, email e segurança em nuvem, que ajudam as organizações a combater ataques cibernéticos. Como um dos maiores fornecedores de segurança cibernética pura, a Sophos protege mais de 500 mil organizações e 100 milhões de usuários em todo o mundo contra adversários ativos, ransomware, phishing, malware e muito mais. Os serviços e produtos da companhia se conectam por meio do console de gestão Sophos Central com base na nuvem, e mantidos pelo Sophos X-Ops, unidade de inteligência de ameaças entre domínios. O Sophos X-Ops intelligence otimiza todo o ecossistema Sophos Adaptive Cybersecurity, incluindo uma série de dados centralizados que potencializa um rico conjunto de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos fornece cibersegurança como um serviço às organizações que precisam de soluções de segurança totalmente geridas e prontas para uso. Os clientes podem também gerir a segurança cibernética diretamente por meio da plataforma de operações de segurança da empresa ou utilizar uma abordagem híbrida, complementando equipes internas com os serviços da Sophos, incluindo busca por ameaças e reparação. A Sophos comercializa soluções por meio de revendedores parceiros e fornecedores de serviços geridos (MSPs) em todo o mundo. A companhia está sediada em Oxford, no Reino Unido. Mais informações estão disponíveis em  www.sophos.com.