Exploração de vulnerabilidades de software sem patch de segurança são cada vez maiores

A IBM Security divulgou o seu relatório anual X-Force Threat Intelligence Index, revelando como o ransomware e a exploração de vulnerabilidades “aprisionaram” as empresas em 2021, sobrecarregando ainda mais as cadeias de fornecimento globais, com o setor da produção a emergir como o mais atacado.

Embora o phishing tenha sido a causa mais comum de ciberataques em geral no ano passado, a IBM Security X-Force observou um aumento de 33% nos ataques causados pela exploração de vulnerabilidades de software sem patch de segurança, um ponto de entrada em que os atores do ransomware confiaram mais do que qualquer outro para realizar os seus ataques em 2021, sendo a causa de 44% dos ataques de ransomware.

O relatório de 2022 detalha como em 2021 os atores de ransomware tentaram “fraturar” a base das cadeias globais de fornecimento com ataques ao setor da produção, que se tornou o mais atacado em 2021 (23%), destronando os serviços financeiros e seguros que eram os principais alvos há muito tempo.

Sofrendo mais ataques de ransomware do que qualquer outra indústria, os atacantes apostaram no “efeito cascata” que a perturbação nas empresas de produção teria, fazendo com que as suas cadeias de fornecimento a jusante os pressionassem a pagar o resgate. Uns alarmantes 47% dos ataques a este setor foram causados devido a vulnerabilidades que as organizações vítimas ainda não tinham ou não conseguiam corrigir, destacando a necessidade de as organizações priorizarem a gestão de vulnerabilidades. 

O relatório IBM Security X-Force Threat Intelligence de 2022 mapeia novas tendências e padrões de ataque que a IBM Security observou e analisou a partir dos seus dados – milhares de milhões de datapoints que vão desde dispositivos de deteção de redes, resposta a incidentes, rastreio de kits de phishing e muito mais –¬ incluindo dados fornecidos pela empresa Intezer.

“Os cibercriminosos normalmente perseguem o dinheiro. Agora, com o ransomware estão a perseguir alavancagem”, disse Charles Henderson, Head of IBM X-Force. “As empresas devem reconhecer que as vulnerabilidades estão a mantê-las num impasse – permitindo que os atores de ransomware as utilizem a seu favor.  Este é um desafio não binário. A superfície de ataque está apenas a crescer, pelo que, em vez de operar sob o pressuposto de que todas as vulnerabilidades no seu ambiente foram corrigidas, as empresas devem operar sob uma assunção de compromisso, e melhorar a sua gestão de vulnerabilidades com uma estratégia de confiança zero”.

Respondendo à recente aceleração da remoção de ransomware pelas autoridades, os grupos de ransomware podem estar a ativar os seus próprios planos de recuperação de desastres. A análise da X-Force revela que a longevidade média de um grupo de ransomware é de 17 meses. Por exemplo, a REvil, responsável por 37% de todos os ataques de ransomware em 2021, persistiu durante quatro anos através de sucessivos rebrandings, sugerindo a probabilidade de voltar a surgir, apesar da sua remoção por uma operação com múltiplos Governos em meados de 2021.

Embora as remoções das forças policiais possam abrandar os atacantes de ransomware, também os estão a sobrecarregar com as despesas necessárias para financiar o seu rebranding ou reconstruir as suas infraestruturas. À medida que o campo de jogo muda, é importante as organizações modernizarem as suas infraestruturas para colocarem os seus dados num ambiente que possa ajudar a protegê-los – seja on-premises ou na cloud.  Isto pode ajudar as empresas a gerir, controlar e proteger as suas workloads, e remover a alavancagem dos atores de ameaças em caso de comprometimento, dificultando o acesso a dados críticos em ambientes de cloud híbrida.

O relatório da X-Force destaca o número recorde de vulnerabilidades divulgadas em 2021, com as vulnerabilidades nos Sistemas de Controlo Industrial a aumentarem 50% em relação ao ano anterior. Apesar de mais de 146 mil vulnerabilidades terem sido divulgadas na última década, só nos últimos anos é que as organizações aceleraram a sua jornada digital, em grande parte impulsionadas pela pandemia, sugerindo que o desafio de gestão de vulnerabilidades ainda não atingiu o seu auge. 

Ao mesmo tempo, a exploração de vulnerabilidades como método de ataque está a tornar-se cada vez mais popular. A X-Force observou um aumento de 33% desde o ano anterior, com as duas vulnerabilidades mais exploradas em 2021 a acontecerem em aplicações empresariais amplamente utilizadas (Microsoft Exchange, Apache Log4J Library).  O desafio das empresas para gerir as vulnerabilidades pode continuar a agravar-se à medida que as infraestruturas digitais se expandem e as empresas cresçam sobrecarregadas com requisitos de auditoria e manutenção, destacando a importância de operar no pressuposto de compromisso e aplicação de uma estratégia zero trust para ajudar a proteger a sua arquitetura.

Em 2021, a X-Force observou mais atacantes a mudarem o seu alvo para containers Docker – de longe o container mais dominante, de acordo com a RedHat. Os atacantes reconhecem que os containers são terrenos comuns entre as organizações, pelo que estão a duplicar as formas de maximizar o seu ROI com malware que possa atravessar plataformas e ser usado como um ponto de partida para outros componentes da infraestrutura das vítimas. 

O relatório de 2022 também é cauteloso sobre o investimento continuado dos agentes de ameaças em malware Linux único, anteriormente não observado, com dados fornecidos pela Intezer que revelam um aumento de 146% no ransomware Linux que tem novo código.  À medida que os atacantes se mantêm firmes na procura de formas de escalar as operações através de ambientes cloud, as empresas devem concentrar-se em estender a visibilidade à sua infraestrutura híbrida. Ambientes de cloud híbrida que são construídos sobre interoperabilidade e standards abertos podem ajudar as organizações a detetar pontos cegos e acelerar e automatizar respostas de segurança.