Conheça as ameaças para vencê-las – SOC – Threat Intelligence

Realizamos a coleta de dados no IBM Security X-Force para construção deste nosso relatório.

O ano de 2022 foi bastante conturbado para a segurança cibernética. Vários fatores contribuíram para este cenário, entre os mais significativos estavam os efeitos da pandemia e o conflito militar na guerra entre Rússia e Ucrânia. Estes fatores tornaram o ano de 2022 bastante turbulento nos cenários econômicos, geopolíticos e humanos, criando exatamente o tipo de caos que os cibercriminosos prosperam. E acreditem eles prosperam! Observamos várias ameaças oportunistas que capitalizaram a desordem para obter vantagem no cenário catastrófico do último ano.

Em todos os casos de incidentes de segurança atendidos pela X-Force na América Latina, o Brasil representou 67%, a Colômbia 17% e o México 8%. Peru e Chile dividem os 8% restantes.

A extorsão foi o impacto de ataque mais expressivo nas organizações e são os favoritos dos cibercriminosos. Embora a extorsão seja comumente associada aos ataques de Ransomware, nos dias de hoje as campanhas de extorsão incluem uma variedade de métodos para aplicar pressão sobre seus alvos.

Principais objetivos observados nas ações dos adversários:

O Phishing continua sendo o principal vetor de infecção. O Phishing é uma técnica de Engenharia Social na qual os atacantes enviam um e-mail malicioso para a vítima, a técnica consiste em falsificação, desorientação e mentira, incentivando a vítima a agir sem pensar no que está fazendo.
A implantação de Backdoors foram um dos principais objetivos, novamente um pico no início do ano com atividades relacionadas ao “Emotet” um malware geralmente espalhado através de e-mails contendo links maliciosos ou documentos infectados. Possui o objetivo de acessar dispositivos externos, espionar dados particulares e sigilosos, apresenta comportamento de um Worm tentando causar infecções a novos dispositivos.
O Ransomware foi a segunda ação mais comum no objetivo dos atacantes, logo atrás das implantações de Backdoor, e continua interrompendo as operações das organizações. Ransomware é um tipo de malware de sequestro de dados, feito por meio de criptografia, que usa como refém arquivos pessoais da própria vítima e cobra resgate para restabelecer o acesso a estes arquivos.
A guerra entre Rússia e Ucrânia ocasionou o aumento do Hacktivismo e alavancou a produção de malware destrutivo. Esta tendência está possibilitando uma guerra moderna e totalmente tecnológica. O Hacktivismo acontece quando ativistas políticos ou sociais usam ataques cibernéticos para fazer uma declaração de apoio a uma de suas causas ou quando pretendem atacar quem é contrário a elas.

Top 10 das categorizações das técnicas de vetores iniciais mais utilizadas pelos adversários com base no framework MITRE ATT&CK em 2022:

Imagem do IBM Security X-Force Threat Intelligence Index 2023 página 8.

Principais objetivos das ações dos atacantes:

De acordo com os dados coletados no X-Force Incident Response, a implantação de Backdoors foi a ação mais comum no objetivo dos adversários, ocorrendo em 21% de todos os incidentes relatados. A segunda colocação foi atribuída ao Ransomware em 17% e em terceiro lugar o Business E-mail Compromise (BEC) em 6%. Documentos maliciosos (Maldocs), campanhas de spam, ferramentas de acesso remoto e acesso ao servidor foram encontrados em 5% dos casos.

O aumento da implantação de Backdoor pode estar relacionado à quantidade de dinheiro que esse tipo de acesso pode gerar na Dark Web. O acesso comprometido à uma rede corporativa normalmente é vendido por uma quantia em dólares. Esse tipo de acesso pode ser procurado e comercializado por atacantes que buscam obter lucro rápido, evitando problemas com a manutenção do acesso enquanto se movem lateralmente e exfiltram dados de alto valor.
O estudo revelou que a implantação de ataques do tipo Ransomware está relacionado as configurações incorretas no Active Directory que permitem brecha para escalonamento de privilégios ou controle total do domínio. Em 2022, também foi observado ataques de Ransomware mais agressivos na infraestrutura com foco em Hypervisors, exemplo ESXi e Hyper-V. O alto impacto desses métodos de ataque ressalta a importância de proteger os Domain Controllers e Hypervisors adequadamente.
O BEC (Business E-mail Compromise) manteve sua classificação em terceiro lugar, com 6% dos incidentes. Esse tipo de ataque ocorre quando um invasor obtém acesso a um servidor para objetivos finais desconhecidos. Os links de Spear Phishing, anexos maliciosos e abuso de contas válidas foram utilizados neste método de ataque.

Imagem do IBM Security X-Force Threat Intelligence Index 2023 página 16.

Variantes de Ransomware:

O maior número de incidências dos ataques de Ransomware em 2022 foram atribuídos ao LockBit 3.0 é a variante mais recente da família de Ransomware LockBit. Faz parte de uma operação de Ransomware como serviço (RaaS) associada ao LockerGoga e ao MegaCortex. O LockBit está em operação desde setembro de 2019 e o LockBit 3.0 foi lançado em 2022. Uma parte significativa do código-fonte do LockBit 3.0 parece ter sido emprestada do Ransomware BlackMatter.

Os pesquisadores descobriram o Ransomware Phobos pela primeira vez no início de 2019. Com base em semelhanças no código, mecanismos de entrega, técnicas de exploração e notas de resgate, o Phobos foi identificado como uma bifurcação das famílias de Ransomware anteriormente conhecidas através do nome Crysis e Dharma. O Phobos tem sido comumente utilizado para ataques de menor escala, que envolvem demandas de resgate mais baixas.

O WannaCry, visto pela primeira vez em 2017, se espalha utilizando o EternalBlue para explorar a vulnerabilidade em “Microsoft Server Message Block 1.0 (SMBv1)” (MS17-010 ). Vários casos do WannaCry ou Ryuk observados em 2022 foram resultado de infecções de três a cinco anos atrás e ocorreram em equipamentos antigos, que não tiveram a Vulnerabilidade corrigida.

Imagem do IBM Security X-Force Threat Intelligence Index 2023 página 19.

Recomendações:

Gerencie seus ativos:
- O que temos?
- O que estamos defendendo?
- Quais dados são críticos para o nosso negócio?
- Essas são as primeiras perguntas que qualquer equipe de segurança deve responder para construir uma defesa bem-sucedida. Priorizar a descoberta de ativos em seu perímetro, entender sua exposição a ataques. Reduzir ao máximo estas superfícies contribuem para aumentar o nível de segurança da organização.

Conheça o seu adversário:

Embora muitas organizações tenham uma visão ampla do cenário de ameaças, recomendamos que as organizações adotem uma visão que enfatize as ameaças mais específicas com maior probabilidade de atingir seu setor e organização. Essa perspectiva inclui a compreensão de quais táticas, técnicas e procedimentos os invasores provavelmente empregarão.

Gerencie a visibilidade:

Depois de entender mais sobre os adversários com maior probabilidade de ataque, as organizações devem confirmar se têm visibilidade adequada das fontes de dados que indicariam a presença de um invasor. Manter a visibilidade em pontos-chave em toda a organização e garantir que os alertas sejam gerados e acionados em tempo hábil, estas medidas são essenciais para interromper as atividades dos invasores antes que eles possam causar interrupções no ambiente.

Suposições de desafio:

As organizações devem supostamente assumir que já foram comprometidas. Ao fazer isso, as equipes podem reexaminar continuamente o seguinte:
- Como os invasores podem se infiltrar em seus sistemas?
- Quão bem a sua detecção e capacidades de resposta a incidentes se comparam a táticas, técnicas e procedimentos emergentes?
- Qual o nível de dificuldade para um provável adversário comprometer seus dados e sistemas mais críticos?
- As equipes de segurança mais bem-sucedidas realizam testes ofensivos regulares incluindo Threat Hunting e Penetration Testing, que são atividades do Red Team com ações baseadas em objetivos para detectar ou validar possíveis caminhos de ataques em seu ambiente.
Threat Intelligence:

A aplicação eficaz do Threat Intelligence permitirá que você analise caminhos de ataque comuns e identifique as principais oportunidades para mitigar estes ataques, além de ajudar a desenvolver oportunidades de detecção de alta fidelidade. A aplicação do Threat Intelligence deve ser combinada com a compreensão de seus adversários e como eles operam.
Esteja preparado:

Os ataques são inevitáveis, falhar não. As organizações devem desenvolver planos de resposta a incidentes personalizados para o seu ambiente, geralmente estes planos são denominados de Playbooks. Os Playbooks devem ser testados e modificados regularmente à medida que a organização apresenta novas mudanças, a organização deve manter o foco na melhoria do tempo de resposta, remediação e recuperação. Ter um fornecedor especializado reduz o tempo necessário para a tratativa das ameaças auxiliando na mitigação de um ataque. Além disso, incluir seu fornecedor de SOC (Security Operation Center) no desenvolvimento e teste do plano de resposta a incidentes é fundamental e contribui para uma resposta mais eficiente e eficaz. Os melhores planos de Resposta a incidentes incluem uma resposta interorganizacional, incorporam partes interessadas fora da TI e testam as linhas de comunicação entre as equipes técnicas e a liderança Sênior. Por fim, teste seu plano em um ambiente controlado, imersivo e de alta pressão, os exercícios podem aumentar muito a sua capacidade de responder a um Incidente de Segurança.

Principais ações contra as ameaças desenvolvidas através do SOC – iTEAM:

MITRE ATT&CK Assessment Report:

São relatórios criados pelo nosso time de SOC. Em 2022 divulgamos um relatório para nossos clientes apontando a crescente tendência de ataques de Backdoors envolvendo o software conhecido como “Emotet” em nossa atividade de MITRE ATT&CK Assessment Report, criamos regras especificas para este tipo de detecção. Nossos relatórios informam sobre as portas de entrada das ameaças, pós exploração, efetividade nas detecções, novas regras criadas para monitoramento específicos das ameaças, casos de uso, táticas e técnicas. Estes relatórios são enviados periodicamente aos clientes apresentando soluções efetivas para monitoramento e contempla a aferição de cobertura das técnicas e táticas do MITRE ATT&CK no ambiente.

Playbooks:

Nós possuímos em nosso ambiente diversos Playbooks e Runbooks implantados para orientação do nosso time em resposta a incidentes, utilizamos o Framework do NIST (SP 800 – 61 R2) para construir as nossas fases de Detecção, Análise, Contenção, Tratamento, Restauração e Atividade Pós Incidente. Os Playbooks são um conjunto de regras, condições, lógica de negócios, fluxos de trabalho e tarefas usados para responder a um incidente de segurança. A aplicação coordenada de todos esses recursos torna o Playbook dinâmico, uma ferramenta poderosa para acelerar a execução de processos de resposta a incidentes metódicos e, em última análise, a remediação de incidentes de segurança, permite que as equipes tenham escalonamento entre os times e interação com outras ferramentas de forma automática como por exemplo o bloqueio de uma determinada conta de usuário no Active Directory, isolamento de um determinado ativo no ambiente utilizando interação com o EDR, adição de IPs a Blacklist do Firewall, entre outras diversas possibilidades.

Threat Intelligence:

Possuímos um time especializado em CTI (Cyber Threat Intelligence) e RED Team focado em construir regras de alta definição em nosso SIEM, coletamos vários relatórios em bases de Intelligence para empregarmos os ataques que estão em maior evidencia no cenário de Cyber Security, utilizamos de mecanismos de Simulações de Ataques aplicando as táticas e técnicas que são na maioria dos casos apresentadas nesses relatórios ou que estão em crescente evidencia nas nossas atividades de Threat Hunting. A execução destas atividades periodicamente nos permite garantir confiança ao nosso time, construindo um monitoramento de forma totalmente efetiva aos ambientes de nossos clientes. Este trabalho reduz o número de falso positivo resultando em alertas de alta performance.