Trace Id is missing

Análise das Informações sobre Ameaças de 2023: Os Principais Insights e Desenvolvimentos

Compartilhar
Círculos vermelhos no céu

Foi um ano incrível para as Informações sobre ameaças da Microsoft. O volume imenso de ameaças e ataques identificados através dos mais de 65 trilhões de sinais que monitoramos diariamente nos proporcionou vários momentos decisivos, principalmente ao percebermos uma mudança na forma como os atores de ameaças estão expandindo e aproveitando o apoio de estados-nação. O último ano apresentou mais ataques do que nunca, e as cadeias de ataques estão ficando mais complexas a cada dia que passa. Os tempos de permanência foram reduzidos. As TTPS (táticas, técnicas e procedimentos) evoluíram para se tornarem mais ágeis e evasivos por natureza. Analisar os detalhes destes incidentes ajuda-nos a ver os padrões para que possamos determinar como responder a novas ameaças e antecipar a próxima direção que poderão seguir. Nossa análise dos TPPs de 2023 visa fornecer uma visão abrangente do cenário de inteligência contra ameaças por meio do que observamos em incidentes em todo o mundo. Aqui estão alguns dos destaques que Sherrod DeGrippo e eu gostaríamos de compartilhar com vocês, juntamente com alguns trechos de vídeo retirados de nossa discussão no Ignite 2023.

John Lambert,
Vice-presidente corporativo da Microsoft e pesquisador de segurança

Ator de ameaça nomeando taxonomia

Em 2023, a Microsoft mudou para uma nova taxonomia de nomenclatura de atores de ameaças com tema climático que (1) corresponde melhor à crescente complexidade, escala e volume das ameaças modernas e (2) fornece uma maneira mais organizada, memorável e fácil de fazer referência ao grupos de adversário.1

A Microsoft categoriza os atores de ameaças em cinco grupos principais:

Operações de influência de estados-nação: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Na nossa nova taxonomia, um evento climático ou nome de família representa uma das categorias acima. Os atores de ameaças dentro da mesma família climática recebem um adjetivo para distinguir diferentes grupos, exceto para grupos em desenvolvimento, que recebem números de quatro dígitos.

Tendências de 2023 para TTPs (táticas, técnicas e procedimentos) de ameaças

Evitar ferramentas personalizadas e malware

Grupos de atores de ameaças que enfatizam o sigilo para evitar seletivamente o uso de malware personalizado. Em vez disso, usam ferramentas e processos existentes no dispositivo da vítima para se ocultarem ao lado de outros atores de ameaças que usam métodos semelhantes para lançar ataques. 2

O vice-presidente corporativo e pesquisador de segurança da Microsoft, John Lambert, comenta brevemente como os agentes de ameaças evitam ferramentas personalizadas vistosas para obter sigilo. Assista ao vídeo abaixo:

Combinar IO (operações de influência e cibernética)

Durante o verão, a Microsoft observou certos atores estatais combinando os métodos de operações cibernéticas e operações de influência (IO) em um novo híbrido que chamamos de “operações de influência habilitadas cibernéticas”. Esta nova tática ajuda os atores a aumentar, exagerar ou compensar deficiências no acesso à rede ou nas capacidades de ataque cibernético. Os três métodos da cibernética ​​incluem táticas como roubo de dados, desfiguração, DDoS e ransomware em combinação com métodos de influência como vazamentos de dados, fantoches, personificação de vítimas, redes sociais e comunicação por SMS/email.
Conjunto de métodos cibernéticos e de influência adaptados para a web

Comprometer dispositivos de borda de rede SOHO

Os atores de ameaças estão montando redes secretas a partir de dispositivos de borda de rede para pequenos escritórios/escritórios domésticos (SOHO), até mesmo usando programas para ajudar na localização de pontos de extremidade vulneráveis ​​em todo o mundo. Essa técnica complica a atribuição, fazendo com que os ataques apareçam praticamente de qualquer lugar.4

Neste vídeo de 35 segundos, John Lambert da Microsoft explica por que os atores de ameaças consideram os dispositivos de borda de rede SOHO alvos tão atraentes. Assista ao vídeo abaixo:

Atores de ameaças obtendo acesso inicial por diversos meios

Na Ucrânia e em outros lugares, os pesquisadores da solução Informações sobre ameaças da Microsoft observaram que os agentes de ameaças obtiveram acesso inicial aos alvos usando um conjunto de ferramentas diversificado. Táticas e técnicas comuns incluem a exploração de aplicativos voltados para a Internet, software pirata backdoor e spear phishing. Cinco reativos, aumentando rapidamente as suas operações cibernéticas e de influência após os ataques do Hamas para combater Israel.

Personificar vítimas para adicionar credibilidade

Uma tendência crescente nas operações de influência cibernética envolve a representação de supostas organizações vítimas, ou de figuras importantes dessas organizações, para adicionar credibilidade aos efeitos do ataque cibernético ou do comprometimento. 6

Adoção rápida de POCs divulgados publicamente para acesso inicial e persistência

A Microsoft tem observado cada vez mais que certos subgrupos de estados-nação adotam código de prova de conceito (POC) divulgado publicamente logo após seu lançamento para explorar vulnerabilidades em aplicativos voltados para a Internet. 7

 

A figura abaixo ilustra duas cadeias de ataque favorecidas por um subgrupo de estado-nação que a Microsoft observou. Em ambas as cadeias, os atacantes usam o Impacket para se moverem lateralmente.

Ilustração da sequência de um ataque cibernético.

Os atores da ameaça tentam usar mensagens SMS em massa para entrar em contato com um público-alvo

A Microsoft observou vários atores tentando usar mensagens SMS em massa para aumentar a amplificação e os efeitos psicológicos de suas operações de influência cibernética. 8

A figura abaixo apresenta duas mensagens SMS lado a lado de agentes de ameaças que se passam por uma rede esportiva israelense. A mensagem à esquerda contém um link para uma página do Sport5 desfigurada. A mensagem sobre as guerras certas: “Se você gosta da sua vida, não viaje para nossos países”.

Grupo Atlas no Telegram: Imagens de mensagens SMS que passam por uma rede esportiva israelense.

As operações de redes sociais aumentam o envolvimento eficaz do público

As operações secretas de influência começaram a engajar com sucesso com audiências nas redes sociais em um grau maior do que o observado anteriormente, indicando níveis mais altos de sofisticação e desenvolvimento de ativos de operações de influência.9

 

Abaixo está um gráfico do Black Lives Matter que foi inicialmente carregado por uma conta automatizada de um grupo de estado-nação. Sete horas depois, foi recarregado por uma conta que se fazia passar por um eleitor conservador dos EUA.

Declaração em apoio ao movimento Black Lives Matter (Vidas Negras Importam), condenando a discriminação, a violência policial e defendendo a dignidade e a segurança

Especialização na economia de ransomware

Os operadores de ransomware em 2023 tenderam à especialização, optando por se concentrar numa pequena gama de capacidades e serviços. Esta especialização tem um efeito fragmentador, espalhando componentes de um ataque de ransomware entre vários fornecedores numa economia subterrânea complexa. Em resposta, a solução de Informações sobre ameaças da Microsoft rastreia os provedores individualmente, observando qual o tráfego no acesso inicial e depois nos outros serviços.10

 

Em um segmento de vídeo retirado do Ignite, o Diretor de Estratégia de Inteligência de Ameaças da solução Informações sobre ameaças da Microsoft, Sherrod DeGrippo, descreve o estado atual da economia de serviços de ransomware. Assista ao vídeo abaixo:

Uso constante de ferramentas personalizadas

Embora alguns grupos evitem ativamente malware personalizado para fins furtivos (consulte “Evitar ferramentas personalizadas e malware” acima), outros abandonaram ferramentas disponíveis publicamente e scripts simples em favor de abordagens personalizadas que exigem técnicas comerciais mais sofisticadas.11

Infraestrutura de segmentação

Embora as organizações de infraestrutura, instalações de tratamento de água, operações marítimas, organizações de transporte, não tenham o tipo de dados valiosos que atraem a maior parte da espionagem cibernética devido à falta de valor de inteligência, elas oferecem valor de disrupção. 12

 

John Lambert, da Microsoft, apresenta brevemente o paradoxo da espionagem cibernética: um alvo que aparentemente não possui dados. Assista ao vídeo abaixo:

Como você pode ver pelos detalhes dos 11 itens de 2023 que acabamos de analisar, o cenário de ameaças evolui continuamente e a sofisticação e a frequência dos ataques cibernéticos continuam a aumentar. Não há dúvida de que os mais de 300 atores de ameaças que rastreamos sempre tentarão algo novo e combinarão isso com os TTPs testados e comprovados. É isso que amamos nesses atores de ameaças. À medida que os analisamos e entendemos suas personas, podemos prever seus próximos movimentos. E agora, com a IA generativa, podemos fazer isso mais rapidamente e seremos melhores na remoção de invasores mais cedo.

 

Dito isso, vamos avançar para 2024.

 

Para obter notícias e informações sobre a solução de Informações sobre ameaças que você pode digerir no drive-thru, confira o Podcast Informações sobre ameaças da Microsoft apresentado por Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Um ano de guerra híbrida russa na Ucrânia. Página 14

  6. [6]

    O Irã aposta em operações de influência cibernética para causar mais impacto. Página 11.

  7. [7]
  8. [8]

    O Irã aposta em operações de influência cibernética para causar mais impacto. Página 11.

  9. [9]

    As ameaças digitais do Pacífico Asiático crescem em abrangência e eficácia. Página 6

  10. [10]

    Um ano na Intel: Destaques da posição global da Microsoft contra APTs

  11. [11]

    O Irã aposta em operações de influência cibernética para causar mais impacto. Página 12.

  12. [12]

    Um ano na Intel: Destaques da posição global da Microsoft contra APTs

Operações de influência cibernética Estado-nação Atores de ameaças

Artigos relacionados

Atores de ameaças russos se preparam para aproveitar o cansaço da guerra

As operações cibernéticas e de influência russas persistem enquanto a guerra na Ucrânia continua. As Informações sobre ameaças da Microsoft apresenta detalhes das mais recentes atividades de ameaça cibernética e de influência ao longo dos últimos seis meses.
Saiba mais

Volt Typhoon mira nas infraestruturas críticas dos EUA com técnicas "living-off-the-land"

As Informações sobre ameaças da Microsoft revelaram um aumento nas operações de influência cibernética originárias do Irã. Receba insights sobre ameaças com detalhes sobre novas técnicas e onde há potencial para futuras ameaças.
Saiba mais

Ransomware como serviço: A nova face do crime cibernético industrializado

As Informações sobre ameaças da Microsoft analisam um ano de operações cibernéticas e de influência na Ucrânia, revela novas tendências em ameaças cibernéticas e o que esperar à medida que a guerra avança para o seu segundo ano.
Saiba mais

Siga a Segurança da Microsoft