2023-2-23
O relatório IBM X-Force Threat Intelligence Index indica que o sucesso na deteção e prevenção de ataques de ransomware foi melhor durante 2022
A IBM Security divulgou o relatório anual X-Force Threat Intelligence Index, que, entre outras conclusões, destaca que, embora os incidentes de ransomware tenham diminuído ligeiramente (4%) de 2021 para 2022, aumentou o sucesso na deteção e prevenção deste tipo de ataques. Apesar disso, os atacantes continuaram a inovar e o tempo médio para concluir um ataque de ransomware passou de dois meses para menos de quatro dias. Sobre Portugal, este relatório coloca o país como um dos que mais foram afetados por ataques informáticos detetados pela IBM na Europa em 2022, com 9% do total, a seguir ao Reino Unido (43%) e à Alemanha (14%). A implementação de backdoors representou a maior parte dos ataques a que a X-Force respondeu em Portugal, representando 18% dos ataques. Ainda em Portugal, os atacantes tiraram partido dos serviços remotos externos e utilizaram hardware adicionado em proporções iguais para obter acesso inicial às redes das vítimas. Os dois impactos mais comuns, empatados em 33%, foram o roubo e a fuga de dados, seguidos da extorsão e botnets, cada um com 17% dos casos. Por fim, os serviços profissionais, empresariais e de consumo foram os mais atingidos, com cerca de 60% dos casos. Os restantes 40% dos ataques dividiram-se entre o setor industrial e os serviços financeiros e seguros. Já a nível mundial, e de acordo com o relatório, a implementação de backdoors, que permitem o acesso remoto aos sistemas, surgiu como a principal ação dos atacantes no ano passado. Cerca de 67% dos casos de backdoor estiveram relacionados com tentativas de ransomware que as equipas de segurança foram capazes de detetar antes deste ser implementado. O aumento da implementação de backdoors pode ser parcialmente atribuído ao seu alto valor de mercado. A X-Force observou que os cibercriminosos chegam a vender o acesso a backdoors por montantes que vão até dez mil dólares, comparando com os dados de cartão de crédito roubados, que são vendidos atualmente por menos de dez dólares. “A mudança na capacidade de deteção e resposta permitiu que as equipas de segurança abordassem os ataques com mais antecedência, moderando a progressão do ransomware no curto prazo”, disse Charles Henderson, Head of IBM Security X-Force. “Mas é apenas uma questão de tempo até que o problema que existe hoje com as backdoors acabe por ser a crise de ransomware de amanhã. Os infratores encontram sempre novas formas de evitar a deteção. Uma boa capacidade de defesa já não é suficiente. Para se libertarem da luta interminável com os atacantes, as empresas têm de apostar numa estratégia de segurança proativa e direcionada às ameaças”. O IBM Security X-Force Threat Intelligence Index acompanha tendências e padrões de ataque novos e existentes – a partir de milhões de dados de dispositivos de rede e endpoints, dados de resposta a incidentes e outras fontes. De acordo com o relatório, o tipo de golpe mais comum utilizado nos ciberataques em 2022 foi a extorsão, levada a cabo principalmente a partir de ataques de ransomware e ataques contra emails empresariais. A Europa foi a região mais visada por este método, representando 44% dos casos de extorsão detetados, tendo os atacantes procurado explorar as atuais tensões geopolíticas. O sequestro de emails registou um aumento significativo em 2022, com os atacantes a usarem contas de e-mail comprometidas para responder a conversas em curso, fazendo-se passar pelo interlocutor original. A X-Force observou que a taxa de tentativas mensais de ataque com esta tática aumentou 100% comparativamente com 2021. A proporção de exploits conhecidos que intervieram em ataques diminuiu dez pontos percentuais entre 2018 e 2022, em grande medida devido ao facto de o número de vulnerabilidades ter atingido um novo máximo histórico em 2022. Ainda assim, o estudo indica que essas exploits permitiram que infeções por malware mais antigas, tais como WannaCry e Conficker, continuassem a existir e a espalhar-se. Frequentemente, os cibercriminosos atuam contra as indústrias, empresas e regiões mais vulneráveis com esquemas complexos de extorsão que exercem uma elevada pressão psicológica para forçar as vítimas a pagar. O setor industrial foi o mais extorquido em 2022, sendo novamente o mais atacado pelo segundo ano consecutivo. As empresas deste setor são um alvo atraente para a extorsão, dada a tolerância extremamente baixa ao tempo de inatividade devido às caraterísticas dos seus negócios. O ransomware é um método de extorsão muito conhecido, mas os cibercriminosos estão sempre a explorar novas formas de extorquir as potenciais vítimas. Uma das últimas táticas detetadas consiste em dar visibilidade do roubo de dados às possíveis vítimas colaterais. Ao incluir os clientes e parceiros de negócio nesta situação, aumentam a pressão sobre a organização atacada alargando a ameaça a essas vítimas colaterais mediante notificações. Desta forma, os cibercriminosos aumentam os custos potenciais e o impacto psicológico de uma intrusão – tornando fundamental que as empresas tenham um plano de resposta a incidentes personalizado que também considere o impacto que um ataque com estas caraterísticas possa ter para os seus clientes e parceiros de negócio, evitando assim que estes também sejam vítimas. De acordo com o relatório, o sequestro de e-mails aumentou no ano passado, tendo o número de tentativas mensais de ataques com este objetivo duplicado em comparação com os dados de 2021. Ao longo do ano, a X-Force verificou que os atacantes usaram esta tática para distribuir Emotet, Qakbot e IcedID, um software malicioso que muitas vezes resulta em infeções de ransomware. Com o phishing a ser a principal causa de ciberataques no ano passado e dada a subida acentuada do sequestro de emails, é evidente que os atacantes estão a explorar a confiança que as vítimas depositam no e-mail. Neste sentido, as empresas devem sensibilizar os seus empregados sobre esta tática de forma a minimizar o risco de se tornarem nas próximas vítimas. A relação entre exploits conhecidos e vulnerabilidades tem vindo a diminuir nos últimos anos: em concreto menos dez pontos percentuais desde 2018. Os cibercriminosos já têm acesso a mais de 78 mil exploits conhecidos, tornando mais fácil explorar vulnerabilidades mais antigas e que não tenham sido corrigidas. Por exemplo, apesar de já se terem passado cinco anos desde que se deu a conhecer, as vulnerabilidades que provocaram as infeções do WannaCry continuam a ser uma ameaça significativa. Recentemente, a X-Force reportou um aumento de 800% no tráfego de ransomware proveniente do WannaCry a partir dos dados da telemetria MSS desde abril de 2022. O facto de se continuarem a utilizar exploits mais antigos realça a necessidade de as organizações reverem os seus programas de gestão de vulnerabilidades, incluindo uma melhor compreensão da sua potencial superfície de ataques e a priorização dos patches em função dos riscos. |