Ataques de phishing aumentaram 54% no primeiro trimestre

25/05/2022 mindsecblog Notícias 0

Ataques de phishing aumentaram 54% no primeiro trimestre. Incidentes de segurança envolvendo comprometimentos de e-mail superaram os incidentes de ransomware pela primeira vez no ano, mostra uma nova análise.

Os agentes de ameaças dobraram o uso de e-mails de phishing como um vetor de ataque inicial durante o primeiro trimestre de 2022 – e, em muitos casos, usaram esse acesso para descartar ransomware ou extorquir organizações de outras maneiras.

Pesquisadores da Kroll analisaram recentemente dados coletados de incidentes de segurança aos quais responderam nos primeiros três meses deste ano. A análise mostrou um aumento de 54% nos incidentes de phishing para acesso inicial em comparação com o mesmo período do ano passado.

Pela primeira vez desde que a Microsoft divulgou o chamado conjunto de vulnerabilidades ProxyLogon no Exchange Server no primeiro trimestre de 2021, os incidentes vinculados a comprometimentos de e-mail superaram os relacionados ao ransomware. A Kroll descreveu o aumento acentuado na atividade de phishing como provavelmente o resultado de um aumento na atividade vinculada ao malware Emotet e IceID – os agentes de ameaças têm usado ambos para descartar outros malwares.

Vários vetores de ataque

A análise da Kroll mostra que os invasores aproveitaram a base inicial obtida por meio de phishing de várias maneiras, inclusive para descartar ransomware e malware e extorquir sem qualquer ransomware ou criptografia.

Em um incidente que a Kroll investigou durante o primeiro trimestre, os adversários adquiriram as credenciais de administrador global de uma organização depois que um funcionário de TI da empresa clicou em um e-mail de phishing que eles enviaram. Os adversários usaram as credenciais para assumir várias contas de e-mail pertencentes a outros membros da equipe de TI, bem como ao C-suite, que por sua vez usaram para baixar dados corporativos confidenciais. Os atacantes seguiram com uma demanda buscando um resgate em troca da interrupção do ataque.

Em outros casos, os pesquisadores da Kroll identificaram invasores invadindo uma rede explorando uma vulnerabilidade e usando esse acesso para lançar campanhas de phishing convincentes. Em um incidente, os invasores exploraram a vulnerabilidade do ProxyShell no Exchange Server para acessar a rede de destino. Uma vez lá dentro, os invasores tentaram enganar os funcionários anexando um arquivo .zip malicioso a uma resposta a um encadeamento de e-mail interno herdado. O arquivo .zip estava disfarçado como uma fatura e parecia ser de uma fonte interna confiável: vários usuários o abriram e, sem saber, baixaram o IcedID em seus sistemas. Essa organização foi posteriormente atingida pelo ransomware QuantumLocker duas semanas depois, disse Kroll.

O phishing não foi a única tática que os invasores usaram para tentar obter acesso inicial em um sistema ou rede de destino. Em vários incidentes que a Kroll investigou, os agentes de ameaças exploraram vulnerabilidades amplamente divulgadas, como ProxyLogon e Log4Shell, para obter uma base para descartar ransomware como Conti, AvosLocker e QuantumLocker nas redes de destino.

Defesas inadequadas

Patrick Harr, CEO da SlashNext, fornecedora de serviços anti-phishing, diz que as defesas atuais das organizações não são totalmente projetadas para proteger contra ataques que parecem se originar de dentro da organização. “Você não pode parar de phishing que vem de serviços legítimos com treinamento de conscientização de funcionários”, diz ele. “À medida que o phishing continua a crescer como um vetor para ataques de ransomware, soluções de prevenção de ameaças em tempo real e de hora zero são essenciais para evitar essas ameaças.”

A adoção mais ampla de modelos de trabalho em casa nos últimos dois anos também tornou mais fácil para os invasores direcionarem os funcionários em campanhas de phishing – e se safarem disso. “O trabalho remoto certamente criou mais oportunidades para os agentes de ameaças executarem [comprometimento de e-mail comercial] e outros ataques de phishing”, diz Hank Schless, gerente sênior de soluções de segurança da Lookout. “Sem poder ir até a mesa de outra pessoa no escritório, os funcionários têm muito mais dificuldade em validar textos ou e-mails desconhecidos.”

A crescente dependência de smartphones e tablets para comunicações internas criou vários problemas, acrescenta. Ataques de Spear-phishing em dispositivos móveis, por exemplo, são muito mais difíceis de capturar do que em um desktop. Os usuários também não podem visualizar destinos de links ou verificar a identidade do remetente. Portanto, muitas das coisas que os funcionários são treinados para reconhecer como parte de seu treinamento de conscientização de phishing são difíceis ou quase impossíveis de detectar em um dispositivo móvel, diz Schless.

Desistência temporária de ransomware

A análise da Kroll mostrou que os ataques de ransomware – como proporção de todos os ataques – caíram 20% entre o quarto trimestre de 2021 e o primeiro trimestre de 2022 e 30% entre o terceiro trimestre de 2021 e o primeiro trimestre de 2022. Pelo menos parte da queda nos ataques parece ter resultado da interrupção de atividades maliciosas por parte da lei por grupos como REvil, disse Kroll. Outro fator que provavelmente contribuiu para a desaceleração dos ataques de ransomware foi a saída voluntária da cena feita por grupos como BlackMatter, acrescentou Kroll.

No entanto, dados iniciais do segundo trimestre de 2022 sugerem que os agentes de ransomware estão se reagrupando e se preparando para retomar seu nível habitual de atividade em breve, de acordo com Kroll.

Um relatório anterior da Digital Shadows observou uma queda semelhante nos incidentes de ransomware no primeiro trimestre de 2022, mas apontou tendências emergentes no espaço que podem ter implicações para organizações corporativas. Um exemplo é a tendência crescente dos grupos de ransomware de se alinharem a favor ou contra a Rússia na guerra daquele país contra a Ucrânia.

Assim como Kroll, pesquisadores da Digital Shadows também observaram incidentes envolvendo extorsão, onde nenhum ransomware foi implantado . Um exemplo citado por ambas as empresas foram os ataques de um grupo identificado como Lapsus$ (também conhecido como DEV-0537) que teve como alvo várias empresas de tecnologia e segurança no primeiro trimestre de 2022. Em alguns dos incidentes, os invasores desfiguraram os sites das organizações-alvo e alegaram ter sofrido um ataque de ransomware. Em outro caso, o grupo usou credenciais roubadas para exfiltrar dados e, em seguida, ameaçou as vítimas de que liberaria os dados publicamente, a menos que pagasse um resgate.