Duplicam ataques a indústrias que apoiam esforços de resposta à COVID-19

A IBM Security divulgou o X-Force Threat Intelligence Index 2021, salientando como os ciberataques evoluíram em 2020 à medida que os agentes de ameaça procuravam lucrar com os desafios socioeconómicos, empresariais e políticos sem precedentes, originados pela pandemia da COVID-19.

Em 2020, a IBM Security X-Force observou que os ataques se centraram em entidades das quais os esforços globais de resposta à COVID-19 dependiam fortemente, como hospitais, fabricantes de produtos médicos e farmacêuticos, bem como empresas de energia que alimentavam a cadeia de abastecimento da COVID-19.

De acordo com o novo relatório, os ciberataques nas áreas da saúde, da produção industrial e da energia duplicaram face ao ano anterior, com os agentes da ameaça a direcionarem-se para organizações que não podiam pagar o tempo de inatividade, devido aos riscos de interromperem os esforços médicos ou cadeias de abastecimento críticas. De facto, as indústrias transformadora e energética foram as mais atacadas em 2020, ficando apenas atrás do setor financeiro e segurador. A contribuir para isto esteve o facto de os atacantes aproveitarem o aumento de quase 50% nas vulnerabilidades nos sistemas de controlo industrial (ICS), de que a produção e a energia dependem fortemente.

"No fundo, a pandemia reformulou o que hoje é considerado como infraestrutura crítica e os atacantes tiraram partido dessa situação. Muitas organizações foram empurradas, pela primeira vez, para as linhas da frente dos esforços de resposta, seja para apoiar a investigação da COVID-19, manter as cadeias de abastecimento de vacinas e alimentos ou produzir equipamento de proteção individual", referiu Nick Rossmann, Global Threat Intelligence Lead, IBM Security X-Force. "A vitimologia dos atacantes mudou à medida que a cronologia dos acontecimentos da COVID-19 sofria desenvolvimentos, indicando mais uma vez a adaptação, a capacidade de recursos e a persistência dos adversários cibernéticos".

O X-Force Threat Intelligence Index baseia-se em insights e observações resultantes da monitorização de mais de 150 mil milhões de eventos de segurança por dia, em mais de 130 países. Adicionalmente, os dados são recolhidos e analisados a partir de múltiplas fontes dentro da IBM, incluindo a IBM Security X-Force Threat Intelligence  e Incident Response,  X-Force Red, IBM Managed Security Services, e dados fornecidos pela Quad9e pela Intezer, que também contribuíram para o relatório de 2021.

Alguns dos principais aspetos salientados pelo relatório incluem:

• Cibercriminosos aceleram a utilização de malware Linux- Com um aumento de 40% nas famílias de malware relacionado com Linux no ano passado, de acordo com a Intezer, e um aumento de 500% no malware escrito em Go nos primeiros seis meses de 2020, os atacantes estão a acelerar uma migração para o malware Linux, que pode ser executado com maior facilidade em várias plataformas, incluindo ambientes cloud.
• A pandemia impulsionou o spoofing de grandes marcas – Num ano caraterizado pelo distanciamento social e pelo trabalho remoto, marcas que oferecem ferramentas de colaboração como a Google, Dropbox e Microsoft, ou marcas de compras online como a Amazon e a PayPal, tornaram-se as dez maiores marcas sujeitas a spoofing em 2020. O YouTube e o Facebook, aquelas em que os consumidores mais confiaram no consumo de notíciasno ano passado, também lideraram a lista. Surpreendentemente, a fazer uma estreia inaugural como a sétima marca mais alvo de ataques de spoofing está a Adidas, provavelmente devido à procura pelas linhas de ténis Yeezy e Superstar.
• Grupos de ransomware capitalizam em modelos de negócio lucrativos – O ransomware foi a causa de quase um em cada quatro ataques a que a X-Force respondeu em 2020, com ataques que evoluíram agressivamente para incluir táticas de dupla extorsão. Utilizando este modelo, a X-Force calcula que a Sodinokibi – o grupo de ransomware mais observado em 2020 – teve um ano muito lucrativo. A X-Force acredita que o grupo fez uma estimativa conservadora de mais de 123 milhões de dólares no ano passado, com cerca de dois terços das suas vítimas a pagarem um resgate, de acordo com o relatório.

Investimento em malware open-source ameaça ambientes cloud

No meio da pandemia da COVID-19, muitas empresas procuraram acelerar a sua adoção de cloud. “Na verdade, uminquéritorecente da Gartner descobriu que quase 70% das organizações que utilizam serviços de cloud hoje planeiam aumentar o seu investimento em cloud na sequência da disrupção causada pela COVID-19” .  Mas com o Linux a alimentaratualmente 90% das workloads de cloud e o relatório da X-Force a detalhar um aumento de 500% nas famílias de malware relacionados com Linux na última década, os ambientes cloud  podem tornar-se um vetor de ataque privilegiado para os agentes da ameaça.

Com o aumento de malware open-source, a IBM indica que os atacantes podem estar à procura de novas formas de melhorar as suas margens de lucro, possivelmente reduzindo custos, aumentando a eficácia e criando oportunidades para criar ataques mais rentáveis em escala. O relatório destaca vários grupos de ameaças, como APT28, APT29 e Carbanak, a recorrerem a malware open-source, indicando que esta tendência será um acelerador para mais ataques cloud no próximo ano.

O relatório sugere ainda que os atacantes estão a explorar o poder de processamento expansível que os ambientes cloud disponibilizam, aproveitando as elevadas taxas de utilização cloud para as organizações vítimas. A Intezer observou em 2020 mais de 13% de novo código em malware Linux de cryptomining, anteriormente não observado.

Com os atacantes de olhos postos na cloud, a X-Force recomenda que as organizações considerem uma abordagem “zero trust”  à sua estratégia de segurança. As empresas devem também tornar a computação confidencial um componente central da sua infraestrutura de segurança para ajudar a proteger os seus dados mais sensíveis – ao encriptar dados em uso, as organizações podem ajudar a reduzir o risco de exploração por parte de um agente malicioso, mesmo que sejam capazes de aceder aos seus ambientes sensíveis.

Cibercriminosos disfarçados de empresas conhecidas

O relatório de 2021 destaca que os cibercriminosos optaram por se disfarçar mais frequentemente como marcas em que os consumidores confiam. Considerada como uma das marcas mais influentes do mundo, a Adidas surgiu como atrativa para os cibercriminosos que tentam explorar a procura dos consumidores, de modo a encaminhar aqueles que queriam modelos ou linhas de ténis mais procurados, para sites maliciosos concebidos para parecer sites legítimos.  Uma vez que um utilizador visitasse estes domínios de aparência legítima, os cibercriminosos procurariam realizar esquemas de pagamento online, roubar informações financeiras dos utilizadores, recolher credenciais de utilizador ou infetar os dispositivos das vítimas com malware.

O relatório indica que a maioria dos ataques à Adidas estão associadas às linhas Yeezy e Superstar. A linha Yeezy, por si só, arrecadou 1,3 mil milhões de dólares em 2019 e foi um dos ténis mais vendidos para a gigante de roupa desportiva. É provável que, com o lançamento do novo modelo no início de 2020, os atacantes tenham aproveitado a procura pela conhecida marca para fazer o seu próprio lucro.

Ransomware domina 2020 como ataque mais comum

De acordo com o relatório, em 2020 o mundo sofreu mais ataques de ransomware em comparação com 2019, com quase 60% dos ataques de ransomware a que a X-Force respondeu a utilizarem uma estratégia dupla de extorsão em que os atacantes encriptam, roubam e depois ameaçam divulgar dados, caso o resgate não seja pago. De facto, em 2020, 36% das violações de dados que a X-Force monitorizou vieram de ataques de ransomware que também envolveram alegados roubos de dados, sugerindo que violações de dados e ataques de ransomware estão a começar a colidir.

O grupo de ransomware mais ativo reportado em 2020 foi o Sodinokibi (também conhecido como REvil), representando 22% de todos os incidentes de ransomware que a X-Force observou. A X-Force estima que o Sodinokibi terá roubado cerca de 21,6 terabytes de dados das suas vítimas, que quase dois terços das mesmas pagaram resgate e que cerca de 43% viram os seus dados divulgados, o que, segundo estimativas da X-Force, terá resultado num ganho de mais de 123 milhões de dólares para o grupo no ano passado. 

Tal como o Sodinokibi, o relatório concluiu que os grupos de ransomware mais bem-sucedidos em 2020 estavam também focados no roubo e na fuga de dados, bem como na criação de cartéis de ransomware-as-a-service e na subcontratação de aspetos-chave das suas operações a cibercriminosos especializados em diferentes áreas de um ataque. Em resposta a estes ataques de ransomware mais agressivos, a  X-Force recomenda que as organizações limitem o acesso a dados sensíveis e protejam contas altamente privilegiadas com soluções de gestão de utilizadores privilegiados privileged access management (PAM)e de gestão de identidades e acessos - identity and access management (IAM).