Hoje, estamos lançando a edição de 2023 do relatório anual de ameaças da Sophos. Com base em uma combinação de telemetria, dados de resposta a incidentes e outras coletas de informações sobre ameaças, o relatório apresenta um instantâneo do cenário atual de ameaças e examina as tendências que vimos surgindo em atividades maliciosas. E uma das tendências mais claras é a evolução contínua de uma indústria de cibercrime madura que reflete em muitos aspectos as tendências de software legítimo e serviços digitais.
Os operadores de ransomware foram os principais adotantes do modelo “como serviço” para crimes cibernéticos. Em 2022, vimos o modelo ser adotado de forma mais ampla no espaço do cibercrime, com os mercados digitais clandestinos agora oferecendo praticamente todos os componentes do kit de ferramentas do cibercrime para aqueles dispostos a pagar por eles – direcionamento e comprometimento inicial das vítimas, evasão e segurança operacional, e entrega de malware, entre outros.
Também amplamente disponíveis estão as ferramentas de ataque profissionais – completas com licença “crackeada” ou contornada. O Cobalt Strike, destinado a ser usado por profissionais de segurança para emular invasores avançados, agora é visto na maioria dos incidentes de ransomware. O Brute Ratel, outra ferramenta de exploração avançada anunciada como uma substituição do Cobalt Strike, agora também está amplamente disponível e foi visto em alguns incidentes de ransomware até agora.
As operações dos próprios operadores de ransomware continuam a amadurecer. O LockBit 3.0, por exemplo, agora oferece um programa de recompensas de bugs para testes de malware de crowdsourcing e realiza pesquisas de mercado na comunidade criminosa para melhorar as operações do grupo. Outros grupos ofereceram programas de “assinatura” para seus dados vazados.
Tudo isso aconteceu no contexto da guerra contínua na Ucrânia, que levou a divisões e desmembramentos em grupos de crimes cibernéticos de língua russa, resultando em doxing e violações de dados de Conti e outros grupos de ransomware. Isso também levou a uma onda de novas fraudes, usando o apelo do governo da Ucrânia por fundos como isca para uma onda de golpes de criptomoedas e outras fraudes financeiras.
O abuso de outros softwares legítimos, bem como de componentes do próprio sistema operacional Windows, continua a desafiar os defensores. Os criminosos continuaram a expandir o uso de executáveis legítimos (como versões “de teste” de produtos de software comercial, incluindo ferramentas de acesso remoto) e de “viver dos binários terrestres” (LOLBins) para evitar a detecção e lançar malware.
Também vimos um retorno aos ataques “traga seu próprio driver”, com agentes mal-intencionados usando drivers vulneráveis de software legítimo para elevar privilégios e tentar desligar produtos de detecção e resposta de endpoint para evitar a detecção.
Na frente móvel, continuamos a ver aplicativos falsos maliciosos ou fraudulentos evitando a detecção pelos principais mercados de aplicativos móveis. Alguns desses aplicativos fazem parte de uma classe de cibercrime em rápida expansão: fraudes em transações financeiras. A Sophos acompanhou a rápida expansão de criptografia e outros golpes comerciais, como esquemas de “abate de porcos”, no ano passado; esses esquemas encontraram novas maneiras de usar aplicativos falsos para enganar as vítimas e fazê-las expor suas carteiras criptográficas móveis ou levá-las a transferir fundos diretamente, incluindo o abuso dos esquemas de implantação de aplicativos ad-hoc do iOS da Apple.
Mais detalhes sobre essas e outras descobertas podem ser encontradas no relatório completo.