O primeiro semestre de 2024 está no retrovisor e o Relatório Semestral de Ameaças 2024 da SonicWall utiliza os dados que reunimos nesse momento para elaborar uma imagem mais clara do panorama atual das ameaças e das tendências do setor. Os ataques que comprometem e-mails de empresas (Business email compromise – BEC) estão em alta, os ataques a cadeias de suprimentos e os riscos associados a eles estão aumentando e o malware na IoT está se tornando um problema cada vez maior. Além disso, fornecemos perspectivas de SOC sobre as ameaças e tendências no ano até o momento. E para mensurar todos esses aspectos, temos um sistema mais preciso implementado.

Adeus ATAQUES, olá TICKS

À medida que as ameaças evoluem e se tornam mais perigosas e a nossa proteção evolui lado-a-lado com elas, a importância da forma como mensuramos as ameaças muitas vezes é negligenciada. No Relatório Semestral de Ameaças de 2024, decidimos que chegou o momento de promovermos uma mudança.

Antes, contávamos cada golpe (ATAQUE) contra um firewall, o que é semelhante a contar todas as gotas de chuva de um temporal e pode gerar uma visão exacerbada do que está acontecendo de fato. A métrica TICKS funciona contando o número de horas em que um firewall está sob ataque em vez de contar cada ataque separadamente. Ainda na analogia à chuva, dizer "Tivemos três milhões de gotas de chuva esta tarde", em vez de "Choveu por uma hora esta tarde", é uma diferença considerável. Os TICKS são mais consistentes, simplificam as comparações e a interpretação dos dados e, em geral, melhora significativamente a maneira como analisamos os dados de telemetria e geramos de relatórios com eles. Também permite um desmembramento melhor para saber exatamente quanto da sua receita correu riscos e quanto foi protegido pela SonicWall. Porém, para obter mais informações sobre o assunto, recomenda-se uma leitura do relatório completo.

Resumo das ameaças

Comprometimento de e-mails empresariais (Business Email Compromise – BEC): Os ataques que comprometem e-mails empresariais (BEC) têm aumentado. Na verdade, foram dez eventos de BEC relatados para cada evento de ransomware, com 70% do eventos de BEC envolvendo uma variedade de métodos de engenharia social diferentes.

Malware na IoT: Os ataques de malware na internet das coisas (IoT) cravaram 107% no primeiro semestre de 2024, e entre os dispositivos sob ataque, tivemos uma média de 52,8 de horas de ataques.

Ataques em nuvens: 83% dos alertas recebidos por clientes da nossa equipe de serviços gerenciados estão relacionados a aplicativos em nuvem e credenciais comprometidas, o que significa que o crescimento das nuvens como superfícies de ataque se mantém em 2024 e deve ir além.

Os ataques a cadeias de suprimentos continuam aumentando

Se aprendemos alguma coisa sobre os ataques a cadeias de suprimentos em 2024 até o momento, é que estão se tornando mais comuns, mais impactantes e mais difíceis de se enfrentar. Este ano, já detectamos vulnerabilidades em diversas cadeia de suprimentos de alto gabarito, como a vulnerabilidade que permite contornar a autenticação na JetBrains TeamCity, em que os criminosos conseguiram invadir e assumir o controle dos sistemas afetados – por vezes um controle completo. Na verdade, 16% dos clientes da SonicWall foram vítimas de ataques que tentavam explorar essa vulnerabilidade. A maioria desses ataques (83%) ocorreu em março, com uma forte queda nos meses seguintes.

E não foram apenas as novas vulnerabilidades que permitiram os ataques a cadeias de suprimentos – o primeiro semestre deste ano comprovou que os cachorros velhos podem sim aprender novos truques. Constatamos que o Log4j e o Heartbleed ainda são ameaças significativas, particularmente para empresas de pequeno e médio portes (PMEs) com recursos mais limitados.

PowerShell: Útil para o bem e para o mal?

O PowerShell é incrível. Ele tem recursos incrivelmente poderosos para geração de scripts e uma integração profunda aos sistemas operacionais do Windows. Como uma ferramenta de automação, ele pode ser o melhor sistema que há. Infelizmente, os mesmos recursos que o tornam uma ferramenta incrível para qualquer desenvolvedor também o tornam uma incrível ferramenta para os criminosos cibernéticos. Na verdade, mais de 90% das principais famílias de malware estão utilizando o PowerShell para fins escusos – AgentTesla, GuLoader, AsyncRat, DBatLoader e LokiBot, todos exploram esse recurso.

Embora esteja se tornando mais comum atualmente, o fato já vem ocorrendo há algum tempo, com alguns relatos indicando um imenso pico nos ataques baseados no PowerShell sss. Embora o PowerShell tenha se empenhado em frustrar os atos de pessoas mal-intencionadas, elas simplesmente encontraram meios para contornar as defesas e continuam se esforçando para superar as barreiras.

O aumento drástico nos ataques à internet das coisas (IoT)

Os ataques a dispositivos de IoT têm aumentado absurdamente, 107% de um ano para o outro no primeiro semestre de 2024. E o motivo para o aumento desses ataques é provavelmente mais simples do que você possa imaginar: a segurança em dispositivos de IoT tende a ser ruim. Muitos criminosos preferem alvos mais fáceis e os dispositivos de IoT estão entre os mais fáceis de todos. Junte-se este fato ao fato de que mais sistemas operacionais predominantes como o Windows estão cada vez mais seguros e as escolhas desses pessoas mal-intencionadas fica ainda mais fácil. Um dos fatores mais significativos nesse aumento drástico é o CVE-2023-1389, que é uma vulnerabilidade da inserção de comandos TP-Link. Essa vulnerabilidade sozinha já afetou 21,25% das PMEs. Junte-se este fato a outros ataques a IoT e o aumento meteórico começa a fazer sentido. E com esses dispositivos muitas vezes diretamente conectados a uma infraestrutura crítica, surge a dúvida: quando é que os fabricantes finalmente vão levar a segurança mais a sério?