A Sophos, empresa especializada em soluções de segurança informática, publicou o Threat Report 2022, o relatório elaborado pelos investigadores, equipa de resposta a incidentes e membros da área de Inteligência Artificial da empresa e no qual são detalhadas as ameaças e tendências de segurança que as organizações vão enfrentar no próximo ano. O principal destaque? O ransomware. Não só veio para ficar, como vai tornar-se mais agressivo, complexo e perigoso.
A tecnológica foca o relatório na forma como o ransomware está a absorver outras ciberameaças para formar um sistema de distribuição de ransomware massivo e interconectado com consequências negativas para a segurança das tecnologias de informação. E daqui destacam-se quatro grandes tendências.
1. O ransomware vai tornar-se mais modular e mais uniforme com os hackers a oferecerem diferentes elementos de um ataque “como serviço” e disponibilizando manuais com ferramentas e técnicas para que outros grupos implementem ataques semelhantes. Os investigadores da Sophos afirmam que os ataques individuais de grupos de ransomware em 2021 deram lugar a ações de ransomware-as-a-service (RaaS) com programadores especializados a vender código e infraestruturas maliciosas a parceiros externos. Por exemplo, o ataque de ransomware deste ano à Colonial Pipeline, nos Estados Unidos da América, por um grupo afiliado do DarkSide, envolveu RaaS, quando um outro grupo, filiado do ransomware Conti, publicou o manual de ferramentas e técnicas que os atacantes podiam utilizar. Possuindo o malware que precisavam, só tinham depois de escolher as vítimas.
2. As ciberameaças vão continuar a adaptar-se para distribuir ransomware, incluindo tipos de malware básico, agentes de acesso inicial avançados e geridos por humanos, spam e adware. Por exemplo, em 2021 os novos ataques híbridos Gootloader combinaram campanhas massivas com uma filtragem para identificar alvos para malware específicos.
3. A utilização de plataformas de extorsão por atacantes de ransomware vai aumentar em alcance e intensidade para pressionar as vítimas a pagarem o resgaste. Durante este ano, foram identificados 10 tipos de táticas diferentes de pressão, como roubo e exposição de dados, telefonemas ameaçadores ou ataques distribuídos de negação de serviço (DDoS) – este último que chegou, inclusive, a Portugal.
4. As criptomoedas vão continuar a ser a base de cibercrimes como o ransomware e a mineração maliciosa de criptomoedas que, segundo a Sophos, se vai manter até existir uma melhor regulamentação para as divisas digitais. Em 2021, descobriram-se cryptominers como o Lemon Duck ou o MrbMiner que instalaram sistemas de mineração em computadores e servidores que já tinham sido atingidos por ransomware.
Além destas tendências, a Sophos também verificou que a velocidade a que os atacantes aproveitaram as fraquezas de algumas falhas – como o ProxyLogon e ProxyShell – em 2021 aumentou tanto que prevê constantes tentativas de ataque a ferramentas de administração das tecnologias de informação e serviços destinados à internet. Prevê também que os cibercriminosos aumentem a utilização de ferramentas de simulação de adversários como, por exemplo, Cobalt Strike Beacons, Mimikatz e PowerSploit, devendo as equipas de segurança verificar os alertas das ferramentas, assim como verificar uma deteção maliciosa, dado que podem indicar a presença de um intruso na rede.
Os investigadores identificaram também em 2021 novas ameaças aos sistemas Linux, esperando-se que em 2022 o interesse nestes sistemas aumente em ambiente de Cloud e em servidores web e virtuais. Uma outra ameaça importante de salientar é aos dispositivos móveis e esquemas de engenharia social, como o Flubot e o Joker, que vão diversificar-se para particulares e para empresas.
Destaque ainda para a inteligência artificial (IA) que vai acelerar a sua presença na cibersegurança ao demonstrar a importância que tem na identificação de ameaças e priorização de alertas. Ao mesmo tempo, também os ataques vão utilizar cada vez mais a IA, infetando os websites mais utilizados pelas empresas com malware ou emails de pishing, por exemplo, conforme vão surgindo vídeos falsos e tecnologias de sintetização de voz mais complexos.
O investigador principal Chester Wisniewski destaca, em comunicado, que o ransomware está a desenvolver-se “devido à sua habilidade de adaptação e inovação”, estando “ao alcance de atacantes menos qualificados ou com menos fundos”. Segundo este, as ameaças “que já existiam e causavam estragos antes da explosão do ransomware, têm sido absorvidas pelo ‘buraco negro’ que parece ser o ransomware, que consome tudo o que o rodeia”.
