Registe-se já para ver o seminário Web a pedido com informações do Relatório de defesa digital da Microsoft de 2024.

Ano de Informações sobre Ameaças 2023 em Revisão: Informações e Desenvolvimentos Principais

Tem sido um ano incrível para as Informações sobre Ameaças da Microsoft. O mero volume de ameaças e ataques revelado através dos mais de 65 biliões de sinais que monitorizamos diariamente deu-nos muitos pontos de inflexão, especialmente à medida que reparamos numa mudança em como os atores de ameaças dimensionam e tiram partido do suporte de estados-nações. O ano passado apresentou mais ataques do que nunca, e as cadeias de ataques estão a tornar-se mais complexas a cada dia. Os tempos de permanência diminuíram. Táticas, técnicas e procedimentos (TTP) evoluíram para se tornarem mais rápidos e de natureza mais evasiva. Reavaliar os detalhes destes incidentes ajuda-nos a ver os padrões para que possamos determinar como responder a novas ameaças e antecipar em que direção se podem mover a seguir. A nossa análise dos TPP de 2023 procura fornecer uma descrição geral abrangente do panorama de informações sobre ameaças através do que observámos em incidentes em todo o mundo. Eis alguns dos destaques eu e Sherrod DeGrippo gostaríamos de partilhar consigo juntamente com alguns extratos de vídeo tirados da nossa conversa no Ignite 2023.

John Lambert,
Vice-presidente Corporativo e Membro de Segurança da Microsoft

Taxonomia de designação de atores de ameaças

Em 2023, a Microsoft mudou para uma nova taxonomia de designação de atores de ameaças com tema meteorológico que (1) corresponde melhor à crescente complexidade, escala e volume das ameaças modernas e (2) proporciona uma forma mais organizada, memorável e fácil de referenciar grupos adversários.¹

A Microsoft categoriza atores de ameaças em cinco grupos principais:

Operações de influência de estados-nações: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Na nossa nova taxonomia, um nome de família ou evento meteorológico representa uma das categorias acima. Os atores de ameaças na mesma família meteorológica recebem um adjetivo para distinguir diferentes grupos, exceto os grupos em desenvolvimento, que recebem números de quatro dígitos.

Tendências de 2023 para táticas, técnicas e procedimentos (TTP)

Evitar ferramentas e malware personalizados

Os grupos atores de ameaças que dão ênfase a atuar de forma furtiva evitaram seletivamente a utilização de malware personalizado. Em vez disso, utilizam ferramentas e processos existentes no dispositivo da vítima para se ocultarem juntamente com outros atores de ameaças a utilizar métodos semelhantes para lançar ataques. ²

O Vice-presidente Corporativo e Membro de Segurança da Microsoft John Lambert comenta brevemente sobre como os atores de ameaças evitam ferramentas personalizadas que dão nas vistas para atuar de forma furtiva. Ver o vídeo abaixo:

Combinar operações cibernéticas e de influência (IO)

Durante o verão, a Microsoft observou certos atores de estados-nações a combinar os métodos de operações cibernéticas e de influência (IO) num novo híbrido a que chamámos “operações de influência possibilitadas ciberneticamente.” Esta nova tática ajuda os atores a melhorar, exagerar ou compensar lacunas no acesso à rede ou nas capacidades de ciberataque.³Métodos cibernéticos incluem táticas como roubo de dados, desfiguramento, DDoS e ransomware em combinação com métodos de influência como fugas de dados, sockpuppets, imitar vítimas, redes sociais e comunicação por SMS/e-mail.

Matriz compatível com a Web de métodos cibernéticos e de influência

Comprometer dispositivos edge de redes SOHO

Os atores de ameaças estão a montar redes secretas a partir de dispositivos edge de redes de pequenos escritórios/escritórios em casa (SOHO), utilizando até programas para ajudar a localizar pontos finais vulneráveis em todo o mundo. Esta técnica complica a atribuição, fazendo com que os ataques pareçam vir de praticamente qualquer lado.⁴

Neste vídeo de 35 segundos, John Lambert da Microsoft elabora sobre por que motivo os atores de ameaças consideram os dispositivos edge de redes SOHO alvos tão apelativos. Ver o vídeo abaixo:

Os atores de ameaças obtêm acesso inicial através de variados meios

Na Ucrânia e noutras partes, investigadores do Informações sobre Ameaças da Microsoft observaram atores de ameaças a obter acesso inicial a alvos com uma caixa de ferramentas variada. Táticas e técnicas comuns incluíram a exploração de aplicações voltadas para a Internet, software pirateado com backdoors e spear phishing. ⁵ reativo, aumentando rapidamente as suas operações cibernéticas e de influência após os ataques do Hamas para contrariar Israel.

Imitar vítimas para adicionar credibilidade

Uma tendência crescente em operações de influência possibilitadas ciberneticamente envolve a imitação de supostas organizações vítimas, ou pessoas importantes nessas organizações, para adicionar credibilidade aos efeitos do ciberataque ou comprometimento. ⁶

Adoção rápida de provas de conceito divulgadas publicamente para acesso inicial e persistência

A Microsoft observou cada vez mais certos subgrupos de estados-nações a adotar código de prova de conceito (POC) divulgado publicamente pouco depois de ser lançado para explorar vulnerabilidades em aplicações voltadas para a Internet. ⁷

A imagem abaixo ilustra duas cadeias de ataques favorecidas por um subgrupo de estado-nação que a Microsoft observou. Em ambas as cadeias, os atacantes utilizaram o Impacket para se moverem lateralmente.

Atores de ameaças tentam utilizar mensagens SMS em massa para contactar um público-alvo

A Microsoft observou vários atores a tentar utilizar mensagens SMS em massa para melhorar a amplificação e os efeitos fisiológicos das suas operações de ciberinfluência. ⁸

A figura abaixo apresenta duas mensagens SMS lado a lado de atores de ameaças a fazerem-se passar por uma rede desportiva israelita. A mensagem à esquerda contém uma ligação para uma página Web desfigurada do Sport5. A mensagem à direita milita, “Se gostar da sua vida, não viaje para os nossos países.”

Telegram do Atlas Group: Capturas de ecrã de SMS a fazer-se passar por uma rede desportiva israelita.

As operações de redes sociais aumentam a participação efetiva do público

As operações secretas de influência começaram agora a envolver-se com êxito com o público-alvo nas redes sociais, em maior medida do que anteriormente observado, o que representa níveis mais elevados de sofisticação e de cultivo de recursos de IO online.⁹

Abaixo está uma imagem do Black Lives Matter que foi inicialmente carregada pela conta automatizada de um grupo de estado-nação. Sete horas mais tarde, foi carregada novamente por uma conta a imitar um eleitor conservador dos EUA.

Declaração a apoiar o Black Lives Matter, a condenar a discriminação, a violência da polícia, a defender a dignidade e a segurança

Especialização na economia de ransomware

As operações de ransomware em 2023 tenderam para a especialização, escolhendo focar-se numa gama limitada de capacidades e serviços. Esta especialização teve um efeito de estilhaçamento, espalhando componentes de um ataque de ransomware por vários fornecedores numa economia clandestina complexa. Em resposta, o Informações sobre Ameaças da Microsoft monitoriza os fornecedores individualmente, notando qual o tráfego no acesso inicial e depois outros serviços.¹⁰

Num segmento de vídeo tirado do Ignite, o Diretor de Estratégia de Informações sobre Ameaças do Informações Sobre Ameaças da Microsoft Sherrod DeGrippo descreve o estado atual da economia de serviço de ransomware. Ver o vídeo abaixo:

Utilização constante de ferramentas personalizadas

Enquanto alguns grupos evitam ativamente malware personalizado para fins furtivos (ver “Evitar ferramentas e malware personalizados” acima), outros mudaram de ferramentas disponíveis publicamente e scripts simples para abordagens feitas à medida que requerem habilidade mais sofisticada.¹¹

Visar Infraestrutura

Embora as organizações de infraestrutura (instalações de tratamento de águas residuais, operações marítimas, organizações de transportes) não tenham o tipo de dados valiosos que atraem a maioria da ciberespionagem devido à falta de valor de inteligência, oferecem valor de disrupção. ¹²

John Lambert da Microsoft apresenta brevemente o paradoxo da ciberespionagem: um alvo que aparentemente não tem dados. Ver o vídeo abaixo:

Como pode ver a partir dos detalhes dos 11 itens de 2023 que analisámos, o panorama de ameaças evolui continuamente, e a sofisticação e a frequência dos ciberataques continua a aumentar. Não há dúvida que os mais de 300 atores de ameaças que monitorizamos tentarão sempre algo novo para combinar com os TTP de provas dadas. Isto é o que gostamos sobre estes atores de ameaças, à medida que os analisamos e compreendemos as suas personas, podemos prever os seus próximos passos. E agora com a IA Generativa, podemos fazê-lo mais rapidamente e seremos melhores a expulsar atacantes mais cedo.

Dito isso, avancemos para 2024.

Para obter notícias e informações sobre Informações sobre Ameaças que pode assimilar no carro, experimente O Podcast do Informações Sobre Ameaças da Microsoft apresentado por Sherrod DeGrippo.

[1]

https://go.microsoft.com/fwlink/?linkid=2271926
[2]

https://go.microsoft.com/fwlink/?linkid=2271926
[3]

https://go.microsoft.com/fwlink/?linkid=2271926
[4]

https://go.microsoft.com/fwlink/?linkid=2271926
[5]

Um ano de guerra híbrida russa na Ucrânia. Página 14
[6]

Irão recorre a operações de influência possibilitadas ciberneticamente para obter um maior efeito. Página 11.
[7]

https://go.microsoft.com/fwlink/?linkid=2271394
[8]

Irão recorre a operações de influência possibilitadas ciberneticamente para obter um maior efeito. Página 11.
[9]

Ameaças digitais provenientes da Ásia Leste aumentam em termos de amplitude e eficácia. Página 6
[10]

Um Ano em Inteligência: Destaques da Posição Global contra APT da Microsoft
[11]

Irão recorre a operações de influência possibilitadas ciberneticamente para obter um maior efeito. Página 12.
[12]

Um Ano em Inteligência: Destaques da Posição Global contra APT da Microsoft

Operações de Ciberinfluência Estado-nação Atores de ameaças