Ataques cibernéticos em nuvem tiveram aumento de 95% em 2022

Ataques cibernéticos em nuvem tiveram aumento de 95% em 2022. Relatório CrowdStrike mostra aumento de 95% no roubo de dados na nuvem em 2022.

Os ataques cibernéticos que exploram lacunas na infraestrutura de nuvem — para roubar credenciais, identidades e dados — dispararam em 2022, crescendo 95%, com casos envolvendo agentes de ameaças “conscientes da nuvem” triplicando ano a ano, de acordo com o Relatório de Ameaças Globais de 2023 da CrowdStrike.

O relatório mostra que os malfeitores estão se afastando da desativação de tecnologias antivírus e de firewall e dos esforços de adulteração de logs, buscando, em vez disso, “modificar os processos de autenticação e atacar identidades”, conclui.

Hoje, as identidades estão sitiadas em um vasto cenário de ameaças. Por que identidades e credenciais de acesso privilegiado são os alvos principais? É porque os invasores querem se tornar corretores de acesso e vender informações furtadas em massa a preços altos na dark web.

O relatório da CrowdStrike fornece uma visão sóbria da rapidez com que os invasores estão se reinventando como corretores de acesso e como suas classificações estão crescendo. O relatório encontrou um aumento de 20% no número de adversários perseguindo roubo de dados em nuvem e campanhas de extorsão, e o maior aumento no número de adversários – 33 novos descobertos em apenas um ano. Os invasores Prolific Scattered Spider e Slippery Spider estão por trás de muitos ataques recentes de alto nível em empresas de telecomunicações, BPO e tecnologia.

Os ataques estão estabelecendo novos recordes de velocidade

Os invasores estão se transformando digitalmente mais rápido do que as empresas podem acompanhar, rearmando e explorando vulnerabilidades. A CrowdStrike encontrou agentes de ameaças contornando patches e evitando mitigações ao longo do ano.

O relatório afirma que “a equipe CrowdStrikeFalcon OverWatch mede o tempo de interrupção — o tempo que um adversário leva para se mover lateralmente, de um host inicialmente comprometido para outro host dentro do ambiente da vítima. O tempo médio de interrupção da atividade de invasão interativa do eCrime caiu de 98 minutos em 2021 para 84 minutos em 2022.”

Os CISOs e suas equipes precisam responder mais rapidamente, à medida que a janela de tempo de interrupção diminui, para minimizar custos e danos auxiliares causados ​​por invasores. A CrowdStrike aconselha as equipes de segurança a cumprir a regra 1-10-60: detectar ameaças no primeiro minuto, entender as ameaças em 10 minutos e responder em 60 minutos.

Os corretores de acesso estão criando um negócio próspero na dark web, onde comercializam credenciais e identidades roubadas para invasores de ransomware em massa. A equipe de inteligência da CrowdStrike descobriu que o governo, os serviços financeiros e as organizações industriais e de engenharia tinham o preço médio mais alto pedido pelo acesso.

Como eles oferecem negócios em massa de centenas a milhares de identidades roubadas e credenciais de acesso privilegiado, os corretores de acesso estão usando a técnica de “um-acesso-um-leilão”, de acordo com a equipe de inteligência da CrowdStrike. A equipe escreve, “Os métodos de acesso usados ​​pelos corretores permaneceram relativamente consistentes desde 2021. Uma tática predominante envolve o abuso de credenciais comprometidas que foram adquiridas por meio de ladrões de informações ou compradas em lojas de log no submundo do crime”.

Os corretores de acesso e as corretoras que eles criaram são negócios ilegais em expansão. O relatório encontrou mais de 2.500 anúncios de corretores de acesso oferecendo credenciais e identidades roubadas para venda. Isso representa um aumento de 112% em relação a 2021.

A equipe de inteligência da CrowdStrike cria o relatório com base em uma análise dos trilhões de eventos diários coletados da plataforma CrowdStrike Falcon e insights do CrowdStrike Falcon OverWatch .

Ataques de infraestrutura em nuvem começando no endpoint

As evidências continuam a mostrar que a computação em nuvem está crescendo como um playground para pessoas mal-intencionadas. A exploração da nuvem cresceu 95% e o número de casos envolvendo agentes de ameaças “conscientes da nuvem” quase triplicou ano a ano, pelo que foi mensurado pela CrowdStrike.

“Há evidências crescentes de que os adversários estão ficando mais confiantes em alavancar endpoints tradicionais para migrar para a infraestrutura de nuvem”, escreveu o CrowdStrike Intelligence Team, sinalizando uma mudança nas estratégias de ataque do passado. O relatório continua, “o inverso também é verdadeiro: a infraestrutura de nuvem está sendo usada como um gateway para endpoints tradicionais”.

Depois que um endpoint é comprometido, os invasores geralmente perseguem o coração de uma pilha de tecnologia de segurança cibernética, começando com identidades e credenciais de acesso privilegiado e removendo o acesso à conta. Eles geralmente passam para a destruição de dados, exclusão de recursos e interrupção ou destruição de serviços.

Por: CrowdStrike 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Oito dicas para proteger os dados na Internet | Minuto da Segurança da Informação
  2. Sanções reforça fiscalização da LGPD e intensifica necessidade da ISO 27001 | Minuto da Segurança da Informação
  3. Empresas que negligenciam a SI correm riscos que vão além do vazamento de dados | Minuto da Segurança da Informação
  4. Como a ISO 27001 pode ajudar as empresas no quesito segurança da informação? | Minuto da Segurança da Informação
  5. Consumidores ameaçam boicotar empresas por falta de higiene de dados | Minuto da Segurança da Informação
  6. Como prevenir ataques DDoS como ocorreram no programa Bolsa Família | Minuto da Segurança da Informação
  7. ChatGPT o que significa para Segurança de Dados | Minuto da Segurança da Informação

Deixe sua opinião!