Relatórios recentes sobre ameaças digitais apontam uma escalada dos ataques no ambiente de computação em nuvem, e um estudo divulgado pela Elastic – o Relatório Global de Ameaças da Elastic de 2022 – aponta algumas razões para os ataques relacionados a endpoint e nuvem.
Produzido pelo Elastic Security Labs, o estudo usa telemetria de implantações mundiais no período de agosto de 2021 a agosto de 2022. Entre as constatações, o relatório confirma que o “erro humano” representa o maior risco para a segurança na nuvem, alegando que os usuários superestimam a segurança do ambiente. Outro número também relacionado ao comportamento do usuário indica que um em cada 3 (33%) dos ataques na nuvem utiliza o acesso a credenciais.
De acordo com o relatório, os dados evidenciam que as organizações não configuram e protegem adequadamente o ambiente de nuvem.
Além disso, os agentes maliciosos estão se concentrando cada vez mais em explorar os pontos onde a tecnologia e as pessoas se cruzam, especialmente quando se trata de acesso a credenciais. A Elastic Security Labs descobriu que isso responde por 1 em cada 3 (33%) alertas de nuvem em todos os provedores de serviços de nuvem.
Ao relatar eventos nas grandes clouds públicas, o estudo aponta que quase 57% da telemetria de segurança na nuvem veio da AWS, seguida por 22% do Google Cloud e 21% do Azure.
Na AWS, mais de 74% dos alertas foram relacionados a acesso de credenciais, acesso inicial e táticas de persistência, com quase 57% das técnicas relacionadas à tentativa de roubo de token de acesso à aplicação, uma das formas mais comuns de roubo de credenciais na nuvem.
No Google Cloud, quase 54% dos alertas foram relacionados ao uso inadequado de contas de serviço, com 52% das técnicas utilizando manipulação de contas, e indicando que o comprometimento da conta de serviço continua alto quando as credenciais padrão da conta não são alteradas.
E no ambiente Microsoft Azure, mais de 96% dos alertas foram relacionados a eventos de autenticação, com 57% das técnicas direcionadas a contas válidas na tentativa de recuperar tokens OAUTH2.
O estudo aponta que 58% das tentativas iniciais de acesso usaram uma combinação de tentativas tradicionais de força bruta e password spraying de contas anteriormente comprometidas.
Cibercrime usa software projetado para ajudar as equipes de segurança
Embora os softwares comerciais de simulação de adversário, como o CobaltStrike, seja útil para a defesa de ambientes de muitas equipes, ele também está sendo usado como uma ferramenta maliciosa para implantar malware em massa. O Elastic Security Labs descobriu que o CobaltStrike foi o binário ou carga malicioso mais disseminado para endpoints do Windows, representando quase 35% de todas as detecções, seguido pelo AgentTesla com 25% e pelo RedLineStealer com 10%.
Outras descobertas importantes sobre malware:
• Mais de 54% de todas as infecções globais por malware foram detectadas em endpoints do Windows, enquanto mais de 39% foram detectadas em endpoints do Linux.
• Quase 81% do malware observado globalmente é de trojans, seguido por criptomineradores com 11%.
• O MacKeeper classificou-se como a maior ameaça para MacOS em quase 48% de todas as detecções, com XCSSet na segunda posição com quase 17%.
Ataques a endpoints estão se tornando mais diversificados
Mais de 50 técnicas de infiltração de endpoint estão sendo utilizadas por agentes de ameaças, sugerindo que a segurança de endpoint está funcionando bem, pois sua sofisticação exige que os agentes de ameaças busquem continuamente métodos de ataque novos ou inovadores para serem bem-sucedidos.
Três táticas do MITRE ATT&CK representaram 66% de todas as técnicas de infiltração de endpoint:
• Uma combinação de 74% de todas as técnicas de evasão de defesa consistiu em mascaramento (44%) e execução de proxy binário do sistema (30%). Isso indica que, além de contornar a instrumentação de segurança, as técnicas de evasão de defesas também afetam a visibilidade, resultando em tempo de permanência mais longo para as ameaças.
• 59% das técnicas de execução eram relacionadas a interpretadores de scripts nativos e de comando, seguidas por uma porcentagem de 40% atribuída a uso inadequado da Instrumentação de Gerenciamento do Windows, indicando que os adversários usam o PowerShell, o Windows Script Host e os arquivos de atalho do Windows para executar comandos, scripts ou binários.
• Quase 77% de todas as técnicas de acesso a credenciais são atribuídas ao despejo de credenciais do sistema operacional com utilitários comumente conhecidos. Isso segue a tendência de os adversários confiarem em contas válidas para atrair menos suspeitas dos administradores em ambientes de implantação híbrida, com hospedagem local e provedores de serviços em nuvem.
Embora as técnicas de acesso a credenciais tenham sido uma prioridade para os invasores, o investimento do adversário em técnicas de evasão de defesas indica uma reação às melhorias nas tecnologias de segurança que têm afetado seu sucesso. Em combinação com técnicas de execução, os invasores conseguem contornar controles avançados de endpoint sem serem detectados nos ambientes das organizações.
“Para evitar ameaças de segurança cibernética com eficácia, as organizações precisam de mais do que apenas um ótimo software de segurança — elas precisam de um programa que inclua insights compartilhados e práticas recomendadas, além de uma comunidade com foco na inteligência de dados de segurança para estender o valor desse produto para os clientes”, diz Ken Exner, diretor de Produto da Elastic.
