valerybrozhinsky - stock.adobe.c
Malware que desativa controles de segurança cresce 333%, alerta CLM
Pandemia do Hunter killer, malware recém-descoberto pela Picus Security, mostra que novos malwares são projetados não apenas para escapar das ferramentas de detecção, mas também para derrubá-las.
A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, alerta para a pandemia mundial do malware Hunter-killer, descoberto pela Picus Security, empresa de validação de segurança.
Esta praga, que desativa os controles de segurança, teve um crescimento 333%, em 2023, segundo o Picus Red Report 2024.
Em seu quarto relatório anual, o Picus Labs, unidade de pesquisa da Picus Security, analisou 667.401 arquivos, dos quais 612.080 (92%) foram categorizados como maliciosos, a partir de amostras dos ataques perpetrados entre janeiro e dezembro de 2023. Também identificou as técnicas mais comuns utilizadas pelos invasores e descobriu uma pandemia do “Hunter-killer”.
Para Tom Camargo, Vice-Presidente da CLM, que distribui as soluções da Picus na América Latina, a descoberta do Picus Labs demonstra uma mudança drástica na capacidade de os ciberatacantes identificarem e neutralizarem as avançadas defesas empresariais, como firewalls, antivírus e EDRs de última geração. “O nome do malware Hunter Killer (caçador assassino) é uma alusão ao filme de 2018, que no Brasil se chama Fúria em Alto Mar, e se passa em um submarino dos Estados Unidos que vigia ações da Rússia. O fato é que esta praga tem capacidade para atingir e desativar os sistemas de defesa”, explica.
Segundo a CLM, o malware Hunter Killer é altamente ardiloso e agressivo; age silenciosamente e lança ataques destrutivos para derrotar as defesas corporativas. A Picus explica que novos malwares são projetados não apenas para escapar das ferramentas de detecção, mas também para derrubá-las. Para combater o Hunter killer, a CLM e a Picus incentivam a adoção inteligência artificial, com aprendizado de máquina, soluções e proteção das credenciais dos usuários e validação constantes das defesas contra as táticas e técnicas mais recentes dos cibercriminosos.
Malware evolui para imitar seu ambiente
O estudo descobriu também que 70% dos malwares empregam técnicas furtivas para burlar a detecção e para se manterem nas redes. “Acreditamos que os cibercriminosos estão mudando de atitude em resposta à melhoria significativa da cibersegurança das empresas e às ferramentas amplamente utilizadas, que oferecem recursos muito mais avançados para detectar ameaças. Há um ano, era relativamente raro os atacantes desativarem os controles de segurança. Agora, esse comportamento é observado em um quarto das amostras de malware e é usado por praticamente todos os grupos de ransomware e grupos APT”, diz o Picus Red Report 2024.
Houve um aumento de 150% no uso de arquivos ou informações ofuscadas, o que mostra uma tendência de atrapalhar a eficácia da segurança e ofuscar atividades maliciosas para complicar a detecção dos ataques, a análise forense e os esforços de resposta a incidentes.
O levantamento revela outra tendência preocupante: 21% das amostras de malware analisadas têm a capacidade de criptografar dados. Além disso, identificou um aumento de 176% no uso do protocolo T1071 Application Layer, que é implantado para exfiltração de dados, como parte de esquemas sofisticados de dupla extorsão.
Casos de destaque de ransomwares em 2023 testemunham o impacto crítico dessas técnicas, que desempenharam papéis essenciais em ataques como o BlackCat/AlphV contra NCR e Henry Schein, Cl0p contra o Departamento de Energia dos EUA, Royal que invadiu a cidade de Dallas, ataques de LockBit na Boeing, CDW e MCNA e o Scattered Spider que se infiltrou no MGM Resorts e no Caesars Entertainment.
“Pode ser muitíssimo difícil detectar se um ataque desativou ou reconfigurou ferramentas de segurança, porque elas ainda parecem funcionar conforme o esperado”, diz eles do CLM. Por isso, a CLM e a Picus recomendam:
- A prevenção de ataques requer o uso de múltiplos controles de segurança com uma abordagem de defesa em profundidade.
- A validação de segurança deve ser o ponto de partida para que as organizações compreendam melhor a sua preparação e identifiquem as lacunas.
“A menos que uma organização simule proativamente ataques para avaliar a resposta de seus sistemas de e-mail, firewalls, EPP, EDR, XDR, SIEM e outros sistemas defensivos que possam ser enfraquecidos ou eliminados pelo malware Hunter-killer, ninguém saberá que estão inativos até que seja tarde demais”, concluiram.
