Backdoor supera ransomware como principal ação de hackers

Expansão na implantação de backdoors é atribuída, em grande parte, à quantidade de dinheiro que esse tipo de acesso pode render na dark web
Da Redação
24/02/2023

A implantação de backdoors em redes corporativas foi a principal ação dos invasores em quase um quarto de todos os incidentes registrados no ano passado. O método secreto de ciberataque — que em tradução livre para o português é “porta dos fundos” —, é usado para escapar da autenticação ou das ferramentas de criptografia em um sistema computacional ou dispositivo.

Para se ter uma ideia, apenas no período de fevereiro a março de 2022, graças à forte disseminação de malwares como o Emotet, a implantação de backdoors teve um aumento de 47% globalmente, de acordo com o recém-lançado IBM Security X-Force Threat Intelligence Index

O relatório atribui a expansão na implantação de backdoors também — e talvez, principalmente — à quantidade de dinheiro que esse tipo de acesso pode render na dark web. O acesso à rede corporativa de um broker (corretor) de acesso inicial geralmente é vendido por vários milhares de dólares.

O ransomware, que foi o ataque número um em 2021, ficou em segundo lugar com 17%, seguido pelo comprometimento de e-mail comercial (BEC), com 6%. O estudo encontrou 19 variantes de ransomware em 2022. As variantes do LockBit representaram 17% do total de incidentes de ransomware registrados, acima dos 7% em 2021. O Phobos empatou com o WannaCry em segundo lugar, com 11%. Muitos casos registrados do WannaCry foram resultado de infecções de três a cinco anos atrás, ocorrendo em equipamentos antigos e não corrigidos.

Principais impactos dos ataques cibernéticos

A extorsão foi o principal método utilizado em 21% dos incidentes observados pela X-Force. Os casos de extorsão geralmente eram alcançados por meio de ransomware ou BEC e geralmente incluíam o uso de ferramentas de acesso remoto, criptomineradores, backdoors, downloaders e web shells. Uma tática observada em 2022 foi que os invasores tornaram os dados roubados mais acessíveis às vítimas downstream. “Ao tornar mais fácil para as vítimas identificar seus dados em meio a um vazamento de dados, os operadores buscam aumentar a pressão sobre a organização visada pelo grupo de ransomware ou afiliado”, constatou o relatório.

Em segundo lugar, veio o roubo de dados com 19%, seguido pela coleta de credenciais, com 11%. Nem todos os roubos de dados resultaram em vazamentos de dados, que ocorreram em 11% de todos os ataques cibernéticos. 

O que foi observado no cenário de malware

Entre o início de junho e o começo de agosto foi registrado um pico de 17% nos ataques do malware Raspberry Robin aos setores de petróleo e gás, manufatura e transporte. A X-Force aconselha garantir que as ferramentas de segurança bloqueiem malware conhecido baseado em USB (como Raspberry Robin), implementando treinamento de conscientização de segurança e desativando recursos de execução automática para qualquer mídia removível.

A IBM X-Force também notou um aumento na popularidade da linguagem de programação Rust com desenvolvedores lançando versões Rust de seus malwares, incluindo o BlackCat, Hive, Zeon e RansomExx. Apesar disso, foi notado um influxo “súbito” do Vidar InfoStealer a partir de junho até o início deste ano. O Vidar pode ser usado para recuperar informações do dispositivo, como informações de cartão de crédito, nomes de usuário, senhas e arquivos. Ele também pode fazer capturas de tela da área de trabalho do usuário ou roubar carteiras de criptomoedas Bitcoin e Ethereum.

Manufatura é a indústria OT mais visada

Das indústrias de tecnologia operacional (OT), a manufatura foi a que experimentou a maior alta nos incidentes, com 58%, que a X-Force ajudou a remediar. De acordo com as principais conclusões do relatório, a implantação de backdoors foi o principal objetivo de ação, identificado em 28% dos casos no setor manufatureiro. A X-Force acredita que este seja o método favorito dos operadores de ransomware, provavelmente devido à baixa tolerância das organizações do setor ao tempo de inatividade.

Veja isso
Backdoor financeiro Dtrack volta a atacar na América Latina
Nova backdoor do PowerShell se disfarça de patch do Windows

Spear phishing foi responsável por 38% dos vetores de acesso inicial em setores relacionados a OT, incluindo o uso de anexos (22%), o uso de links (14%) e spear phishing como serviço (2%). Isso foi seguido pela exploração de aplicativos voltados para o público com 24%, a detecção de backdoors em 20% e ransomware, 19%. A tática mais usada em tais ataques foi a extorsão (29%), seguida pelo roubo de dados (24%).

Ataques cibernéticos por região geográfica

Pelo segundo ano consecutivo, a Ásia-Pacífico foi a região mais atacada em 2022, registrando 31% de todos os incidentes. Isso representa um aumento de 5% em relação a 2021, de acordo com o relatório. O Japão foi o epicentro do pico do Emotet.

O Japão foi o país mais visado, com 91% dos ataques recebidos, seguido pelas Filipinas, com 5%, e Austrália, Índia e Vietnã, cada um com 1,5%. A Europa foi a segunda região mais visada, com 28% dos ataques. O continente europeu foi o mais atingida pela extorsão, com 44% de todos os casos de extorsão observados. O maior impacto causado pelos ataques foi a extorsão (38%) em toda a região. O Reino Unido foi o país mais atacado da Europa, respondendo por 43% dos casos. A Alemanha representou 14%, Portugal 9%, Itália 8% e França, 7%.

A América do Norte experimentou um ligeiro aumento no número de incidentes com 25% em 2022, ante 23% em 2021. As indústrias mais atacadas da região foram energia com 20% dos ataques, seguida por manufatura e varejo-atacado com 14% cada.

Os Estados Unidos foram responsáveis por 80% dos ataques na região e o Canadá por 20%. O maior impacto na região foi a coleta de credenciais (25%) e os principais vetores de infecção foram a exploração de aplicativos voltados para o público, com 35%, e anexos de spear phishing, com 20%. Os incidentes de ransomware representaram 23% dos casos.

Na América Latina, o varejo atacadista foi o setor mais atacado com 28% dos casos, seguido por finanças e seguros (24%) e energia (20%). O ransomware foi responsável por 32% dos ataques e a extorsão foi o método mais comum, com 27%. O Brasil representou 67%, a Colômbia 17% e o México 8%. Peru e Chile dividem os 8% restantes.

A implantação de backdoors foi detectada em 27% dos casos nos quais a X-Force respondeu no Oriente Médio e na África em 2022. Finanças e seguros foram os setores mais visados na região, respondendo por 44%. A Arábia Saudita representou dois terços dos casos na região. Os casos restantes foram divididos entre Catar, Emirados Árabes Unidos e África do Sul.

Compartilhar:

Últimas Notícias