Relatório sobre nuvem e ameaças 2024

Este relatório explora os ambientes de nuvem corporativa em evolução e o cenário de ameaças, destacando as tendências predominantes de 2023 e oferecendo previsões sobre quais delas continuarão em 2024.

Netskope Threat Labs2024

Resumo executivo Destaques do relatório About this report Netskope Threat Labs O uso de aplicativos em nuvem e SaaS está aumentando Aplicativos de IA generativa em ascensão Engenharia social

Cavalos de Troia Phishing

Perfis e objetivos dos adversários

TA551 Aranha Mágica TA505 APT41 Terra Lusca

Recomendações

22 min de leitura

Resumo executivo

O Netskope Cloud and Threat Report tem como objetivo fornecer inteligência estratégica e acionável sobre as últimas tendências em computação em nuvem e ameaças à segurança cibernética que afetam as organizações em todo o mundo. Nesta edição, fazemos uma retrospectiva das principais tendências de 2023, dando atenção especial àquelas que esperamos que continuem em 2024 e nos anos seguintes.

Ao longo de 2023, a adoção da nuvem e do SaaS continuou a crescer nos ambientes corporativos, com os usuários adotando constantemente novos aplicativos e aumentando o uso dos aplicativos existentes. Os pacotes de aplicativos da Microsoft e do Google continuam a dominar todos os setores e regiões geográficas do mundo, à medida que os aplicativos desses fornecedores se tornam ainda mais arraigados nos processos comerciais essenciais.

Os adversários, reconhecendo essa tendência, estão abusando e direcionando aplicativos populares em suas operações com mais frequência. A engenharia social se tornou o método mais comum usado pelos adversários para obter acesso aos ambientes das vítimas. Os adversários são cada vez mais bem-sucedidos em enganar as vítimas para que baixem cavalos de Troia, hospedando-os em aplicativos SaaS populares, e em enganar as vítimas para que cliquem em iscas de phishing criadas para roubar credenciais de aplicativos SaaS.

A maior parte da atividade adversária direcionada aos clientes da Netskope em 2023 teve motivação financeira. Quando um adversário com motivação financeira obtém acesso inicial ao ambiente de uma vítima, ele normalmente instala um implante (geralmente o Cobalt Strike) para manter a persistência. Em última análise, eles tentam extorquir a organização vítima implantando ransomware, infostealers e wipers, ameaçando expor publicamente dados confidenciais ou sabotar o ambiente da vítima se ela não pagar. Até mesmo adversários com motivação geopolítica, cujo objetivo principal tem sido historicamente a espionagem cibernética, também estão se envolvendo em atividades de extorsão semelhantes.

Este relatório destaca essas e outras tendências predominantes de 2023 e oferece previsões sobre quais delas continuarão em 2024.

resposta de teste

Destaques do relatório

Os aplicativos de IA generativa são um pilar das empresas
Os aplicativos de IA generativa, praticamente inexistentes na empresa há um ano, agora são um pilar, com mais de 10% dos usuários acessando aplicativos de IA generativa baseados em nuvem a cada mês e com os 25% principais dos usuários aumentando exponencialmente o uso desses aplicativos.

A maioria dos cavalos de Troia é baixada de aplicativos de nuvem populares
Os atacantes são mais bem-sucedidos em enganar as vítimas para que baixem cavalos de Troia quando eles estão hospedados em aplicativos populares na nuvem, sendo que os aplicativos mais populares do Google e da Microsoft estão entre os principais aplicativos para downloads de malware.

Os adversários criminosos expandem seu manual de extorsão
A atividade do adversário criminoso dominou o cenário de ameaças em 2023, com vários grupos adversários confiando fortemente no Cobalt Strike para manter a permanência e implantar ransomware, infostealers, wipers e outros softwares mal-intencionados para extorquir suas vítimas.

sdofjsfojefgejelosij

About this report

O Netskope Threat Labs publica anualmente um Relatório sobre Nuvem e Ameaças para fornecer inteligência estratégica e acionável sobre as últimas tendências em computação em nuvem e ameaças à segurança cibernética que afetam as organizações em todo o mundo. As informações apresentadas neste relatório baseiam-se em dados de uso anônimos coletados pela plataforma Netskope Security Cloud em relação a um subconjunto de clientes da Netskope com autorização prévia. A Netskope oferece proteção contra ameaças e dados a milhões de usuários em todo o mundo. Este relatório contém informações sobre as detecções levantadas pelo Next Generation Secure Web Gateway (SWG) da Netskope, sem considerar a importância do impacto de cada ameaça individual. As estatísticas apresentadas neste relatório são um reflexo tanto da atividade do adversário quanto do comportamento do usuário. As estatísticas neste relatório são baseadas no período de 1º de dezembro de 2021 a 30 de novembro de 2023.

Netskope Threat Labs

Com a equipe dos principais pesquisadores de malware e ameaças na nuvem do setor, o Netskope Threat Labs descobre, analisa e projeta defesas contra as mais recentes ameaças à Web, à nuvem e aos dados que afetam as empresas. Nossos pesquisadores são apresentadores regulares e voluntários nas principais conferências de segurança, incluindo DEF CON, Black Hat e RSAC.

O uso de aplicativos em nuvem e SaaS está aumentando

A transição empresarial dos aplicativos tradicionais no local para os aplicativos em nuvem e SaaS está longe de terminar. A maioria das organizações já migrou para suítes de produtividade baseadas na nuvem, e a migração mudou para aplicativos mais específicos. O número de aplicativos usados pelo usuário médio aumentou de 14 para 20 nos últimos dois anos, um aumento médio de 19% por ano. Atualmente, metade de todos os usuários corporativos interage com entre 11 e 33 aplicativos por mês, sendo que o 1% dos principais usuários interage com mais de 96 aplicativos por mês.

Ao mesmo tempo, as interações das pessoas com aplicativos de nuvem e SaaS estão aumentando em um ritmo ainda mais rápido - 35% ao ano - de pouco mais de 1.000 atividades por mês há dois anos para quase 2.000 atividades por mês atualmente. Metade de todos os usuários corporativos gera entre 600 e 5.000 atividades por mês, sendo que o 1% dos principais usuários gera mais de 50.000 atividades por mês. Uma atividade é uma interação central entre um usuário e um aplicativo, sendo que as atividades mais comuns são:

Download ou upload de um arquivo
Edição de um documento
Postar uma mensagem
Exibir um arquivo ou uma mensagem

Os aplicativos mais populares na empresa não mudaram significativamente no último ano. Entre os 20 aplicativos mais populares, a popularidade ano a ano variou em pontos percentuais de um dígito, com alguns temas de destaque.

Google e Microsoft reinam supremos
Os principais componentes dos pacotes de produtividade do Microsoft 365 e do Google Workspaces estavam entre os principais aplicativos em 2022 e 2023. Produtos Microsoft OneDrive, Sharepoint, Teams, Azure Blob Storage, Outlook.com, Forms e GitHub, juntamente com os produtos do Google, Google Drive, Google Cloud Storage, Gmail e Calendar, representaram a maioria dos 10 principais. Os aplicativos desses fornecedores se tornaram os pilares do ecossistema empresarial em todas as regiões e em todos os setores e continuarão no topo em um futuro próximo.

Mudanças na mídia social
Embora sua popularidade relativa tenha permanecido praticamente inalterada em relação ao ano anterior, houve algumas mudanças na popularidade de várias plataformas de mídia social entre os usuários corporativos. O Facebook ainda é a plataforma de mídia social mais popular, apesar de sua popularidade ter diminuído em 6 pontos. Apesar de toda a conversa sobre um êxodo do Twitter após a compra por Elon Musk, os usuários corporativos ainda o utilizam praticamente na mesma proporção. A plataforma de rede social profissional LinkedIn ganhou 4 pontos, o maior ganho de todas as plataformas de mídia social e o terceiro maior ganho de todos os aplicativos. O TikTok e o Instagram permaneceram praticamente inalterados.

O Outlook ultrapassa o Gmail
O Outlook.com ultrapassou o Google Gmail em 2023, pois os usuários do Outlook continuam a deixar de usar o aplicativo nativo do Outlook em favor do aplicativo da Web. Acrescentando mais de 6 pontos de popularidade, o Outlook.com teve o segundo maior aumento de qualquer aplicativo de nuvem ou SaaS em 2023.

Aplicativos de IA generativa em ascensão

2023 foi o ano da IA generativa. Tudo começou com o entusiasmo em torno da OpenAI e de seu principal produto, o ChatGPT. Embora não tenha entrado no top 20 dos aplicativos mais populares de 2023, o ChatGPT adicionou mais usuários do que qualquer outro aplicativo, com sua popularidade aumentando de 0% para quase 7% de todos os usuários corporativos até o final do ano. À medida que a popularidade do ChatGPT crescia, outras empresas começaram a criar chatbots concorrentes e ainda mais empresas começaram a criar produtos de nicho para aproveitar o poder desses grandes modelos de linguagem (LLMs). A ideia de um assistente com tecnologia de IA para ajudar em tarefas como redação, programação e até mesmo operações de segurança decolou. Ao mesmo tempo, também foram lançados aplicativos para gerar imagens, vídeos e áudio.

A comunidade de segurança cibernética empresarial fez o que normalmente faz quando uma nova tecnologia com tanto alarde chega ao mercado: Determinar rapidamente se esses aplicativos servem a uma finalidade comercial legítima e, nos casos em que servem, descobrir como habilitar seu uso com segurança. Para muitas organizações, isso significou fazer uma pausa, bloqueando os aplicativos até que eles pudessem passar por uma análise de segurança adequada. Em geral, isso significa que esses aplicativos de IA generativa ganharam popularidade nas empresas mais lentamente do que no mercado consumidor.

Mas sua popularidade cresceu. O gráfico a seguir mostra um aumento na popularidade dos aplicativos de IA que se assemelha a uma sigmoide, passando de pouco mais de 2% de todos os usuários corporativos que acessavam pelo menos um aplicativo de IA por mês há um ano para mais de 10% atualmente. A maior parte desse crescimento ocorreu no primeiro semestre de 2023 e arrefeceu no final do ano.

Um gráfico do crescimento dos três principais aplicativos de IA generativa fornece mais informações sobre a forma do gráfico de popularidade geral acima. O ChatGPT foi o aplicativo mais popular por uma grande margem, com o assistente de redação Grammarly em segundo lugar, seguido pelo chatbot do Google Bard em terceiro. O gráfico a seguir fornece uma análise detalhada do crescimento desses três aplicativos. O ChatGPT foi o principal impulsionador do padrão de crescimento sigmoidal no primeiro semestre do ano, aumentando rapidamente de quase 0% para 7% da população de usuários corporativos. O Google Bard teve uma forma semelhante de crescimento no final do ano, quando se tornou disponível para todos, mas sua adoção foi pequena em comparação com o ChatGPT. O Grammarly começou o ano como o aplicativo de IA mais popular devido à sua base de usuários pré-existente e, embora não tenha tido um crescimento tão agressivo quanto o ChatGPT, sua popularidade continua a crescer. No próximo ano, o Netskope Threat Labs prevê que o Grammarly continuará crescendo em popularidade e diminuirá a distância entre ele e o ChatGPT, mas ainda ficará atrás do chatbot multifuncional.

A maioria dos usuários interage com aplicativos de IA generativa apenas algumas vezes por mês. Ao longo do ano passado, o usuário médio aumentou de 5 atividades por mês para 14 atividades por mês, sendo que uma atividade é mais comumente um prompt postado em um chatbot. O quartil superior de usuários de aplicativos de IA apresentou um aumento mais significativo, de 15 para 85 atividades ao longo do ano. Isso indica que um quarto da população de usuários de IA são usuários avançados que estão aumentando rapidamente o uso de aplicativos de IA generativa. O Netskope Threat Labs espera que essas duas tendências continuem em 2024: o número total de usuários que acessam aplicativos de IA na empresa continuará a aumentar apenas modestamente, enquanto o volume de atividade dos usuários avançados aumentará significativamente à medida que a população de superusuários encontrar novas maneiras de extrair valor adicional dessas tecnologias.

Uma análise mais detalhada dos dez principais aplicativos de IA generativa à medida que 2023 se aproxima do fim revela três tendências dignas de nota que esperamos ver continuar em 2024.

Os chatbots reinam supremos
O ChatGPT, o primeiro chatbot de IA generativa a ganhar popularidade, ainda está no topo no final do ano, com 6,7% dos usuários corporativos interagindo com o chatbot pelo menos uma vez por mês. O Google Bard, a alternativa ao ChatGPT do Google, é o segundo chatbot mais popular, mas tem apenas mais de um décimo da base de usuários. O ChatGPT e o Google Bard são de uso geral e podem ser usados para dar suporte a funções de negócios, como auxílio em tarefas de escrita e programação ou recuperação de informações, ou para entretenimento. Sua versatilidade é um dos principais motivos de sua popularidade. Outros chatbots de engajamento de clientes mais específicos - ChatBase e Blip - também ficaram entre os dez primeiros, mas com ainda menos usuários.

Os assistentes de IA estão se recuperando
Um dos usos mais populares da tecnologia de IA generativa na empresa até o momento é como assistente de escrita. O Grammarly, o segundo aplicativo de IA generativa mais popular, é usado por 3,1% dos usuários corporativos, com as alternativas QuillBot e Wordtune também entre os dez primeiros. O Tabnine é um assistente de programação que ajuda os programadores a escrever códigos com mais eficiência. O Netskope Threat Labs espera que os assistentes de IA, especialmente os assistentes de escrita e programação, continuem a crescer em popularidade em 2024. Sua integração aos conjuntos de ferramentas comumente usados para escrever e programar e o fato de serem projetados e ajustados especificamente para essas tarefas impulsionarão o crescimento de sua popularidade. O fato de não poderem ser usados para fins de entretenimento provavelmente também removerá as barreiras à sua adoção na empresa, enquanto outros aplicativos, como os chatbots de uso geral, podem sofrer.

Os geradores de arte de IA estão entrando na empresa
Os geradores de arte de IA, especificamente aqueles que podem gerar imagens, chegaram às posições de número 9 e 10 dos aplicativos de IA generativa mais populares na empresa. Assim como os chatbots, os geradores de arte com IA são ferramentas para todos os fins que podem ser usadas para entretenimento ou para dar suporte a funções de negócios, o que contribui para sua popularidade na empresa. Por causa de seus usos de entretenimento, especialmente sua capacidade de gerar conteúdo que não é seguro para o trabalho, é provável que eles permaneçam no final da lista de popularidade em ambientes corporativos em um futuro próximo.

Engenharia social

O método mais comum pelo qual os adversários obtiveram acesso inicial aos sistemas de suas vítimas em 2023 foi por meio de engenharia social. A engenharia social é normalmente a maneira mais fácil de os adversários obterem acesso a sistemas empresariais reforçados, nos quais o acesso remoto é limitado e os patches contra vulnerabilidades de segurança conhecidas são aplicados em tempo hábil. A engenharia social tem como alvo as pessoas que têm acesso aos sistemas, e não os próprios sistemas. Entre as várias táticas e técnicas de engenharia social usadas pelos adversários para atingir empresas em 2023, houve dois destaques:

Enganar as vítimas para que façam o download e executem cavalos de Troia
Uso de phishing para induzir as vítimas a compartilhar credenciais confidenciais

O restante desta seção oferece uma análise mais aprofundada de cada uma dessas técnicas.

Cavalos de Troia

Os usuários corporativos são constantemente atacados por cavalos de Troia de vários ângulos diferentes. Os adversários estão continuamente criando novos cavalos de Troia com uma variedade de iscas diferentes para induzir os usuários a baixá-los e executá-los. Em 2023, uma média de 8 em cada 10 mil usuários baixaram uma média de 11 cavalos de Troia por mês. Ao longo do ano, uma organização com 10 mil usuários teria tido uma média de 132 cavalos de Troia baixados pelos usuários em sua rede. O Netskope Threat Labs espera que esses dois números permaneçam relativamente constantes ao longo de 2024.

Um dos ângulos que os adversários usam cada vez mais para induzir os usuários a baixar cavalos de Troia é hospedar os cavalos de Troia em aplicativos SaaS populares. No ano passado, a porcentagem de downloads de malware HTTP e HTTPS originados de aplicativos SaaS ficou consistentemente acima de 50%, uma tendência que o Netskope Threat Labs espera que continue até 2024, à medida que se aproxima de 60%.

Os aplicativos específicos em que os adversários têm mais sucesso em enganar suas vítimas para que baixem cavalos de Troia são, sem surpresa, também alguns dos aplicativos mais populares na empresa. A figura a seguir detalha os 20 principais aplicativos, incluindo uma comparação ano a ano. Destacamos abaixo quatro temas principais dessa trama.

O Microsoft OneDrive mantém sua liderança
Conforme discutido anteriormente neste relatório, o Microsoft OneDrive é onipresente na empresa. Ele é o aplicativo SaaS mais popular por uma grande margem, com quase dois terços de todos os usuários corporativos acessando conteúdo no OneDrive todos os meses. Por esse motivo, não é de surpreender que ele também seja líder em termos de downloads de malware. Os adversários podem criar facilmente suas próprias contas do OneDrive para hospedar malware, que eles compartilham com suas vítimas. Além disso, como dois terços dos usuários usam regularmente o OneDrive, eles estão acostumados a clicar nos links do OneDrive e, portanto, têm maior probabilidade de fazê-lo quando um adversário compartilha um.

O Microsoft Sharepoint tem nuances
A Microsoft utiliza o SharePoint em uma variedade de outros serviços, incluindo o Microsoft Teams. O aumento ano a ano nos downloads de malware originados do SharePoint deve-se principalmente a um aumento nos cavalos de Troia compartilhados com as vítimas pelo Microsoft Teams, que aparecem como downloads do Microsoft SharePoint na plataforma Netskope.

Os aplicativos que oferecem hospedagem gratuita são os líderes
A maioria dos aplicativos entre os 20 primeiros são aplicativos que oferecem serviços gratuitos de hospedagem de arquivos. Isso inclui aplicativos de armazenamento em nuvem (Microsoft OneDrive, Google Drive, Azure Blob Storage, Amazon S3, Box, Dropbox, Google Cloud Storage), aplicativos gratuitos de hospedagem na Web (Weebly, Squarespace), serviços gratuitos de compartilhamento de arquivos (DocPlayer, MediaFire, WeTransfer) e aplicativos gratuitos de hospedagem de código-fonte (GitHub, SourceForge). Como todos esses aplicativos oferecem hospedagem de arquivos de baixo custo ou sem custo, o Netskope Threat Labs espera que eles e outros aplicativos semelhantes continuem a ser usados indevidamente para a distribuição de malware e phishing em um futuro próximo.

Phishing

Os adversários geralmente são mais bem-sucedidos em enganar as vítimas para que cliquem em links de phishing do que em enganá-las para que baixem malware. Em média, 29 de cada 10 mil usuários corporativos clicaram em um link de phishing por mês em 2023, mais de três vezes a taxa de usuários que baixam cavalos de Troia. Ao longo do ano, uma organização com 10 mil usuários teria tido uma média de 348 usuários clicando em links de phishing.

Os atacantes fazem phishing para obter credenciais e outras informações confidenciais para uma variedade de alvos diferentes. Os 10 principais alvos de phishing em 2023 incluíam aplicativos populares de nuvem e SaaS, sites de compras e portais bancários. Aplicativos SaaS e sites de compras estiveram entre os principais alvos ao longo do ano, enquanto portais bancários, mídias sociais e alvos governamentais tiveram um aumento constante ao longo do ano. Enquanto alguns adversários fazem phishing para obter credenciais e dados que eles mesmos usarão, outros atuam como corretores de acesso inicial, vendendo as credenciais roubadas, informações bancárias e outros dados no mercado negro. O Netskope Threat Labs prevê que os aplicativos de nuvem e SaaS, embora continuem entre os principais alvos de phishing, serão substituídos por portais bancários como o principal alvo no início de 2024.

Entre as principais categorias de alvos de phishing, houve alguns destaques:

Governo
O alvo governamental mais comum foi o Internal Revenue Service dos Estados Unidos, onde os atacantes criaram páginas de phishing para roubar dados financeiros de suas vítimas.

Mídia social
O Facebook, o aplicativo de mídia social mais popular nas empresas, continua sendo a plataforma de mídia social mais visada por uma grande margem. Os adversários usam contas de mídia social comprometidas para aplicar golpes, disseminar malware, espalhar desinformação e outras atividades ilícitas.

Compras
Os gigantes das compras, Amazon e Ebay, continuam sendo os principais alvos de compras.

Jogos
A plataforma de jogos Steam foi a plataforma de jogos mais visada por uma grande margem. Os adversários normalmente usam as informações de pagamento anexadas à conta para fazer compras e também tentam usar a conta para comprometer outras contas.

Consumer
O serviço de streaming de vídeo Netflix manteve sua liderança como o serviço mais vítima de phishing na categoria de consumidores em 2023. Aqui, o objetivo principal é o roubo: As contas roubadas são vendidas em um mercado negro para pessoas que procuram uma assinatura barata da Netflix.

Entre os aplicativos de nuvem e SaaS visados pelos adversários em campanhas de phishing em 2023, um ecossistema de aplicativos se destaca de todos os outros: A Microsoft. A popularidade da Microsoft entre os usuários corporativos significa que as credenciais da Microsoft são um alvo lucrativo para os invasores e que os usuários estarão mais acostumados a clicar em links para serviços da Microsoft. À medida que mais usuários continuarem a usar os serviços da Microsoft, ela continuará a ser o principal alvo dos adversários, que podem aproveitar o acesso à conta Microsoft da vítima para comprometer o e-mail comercial, roubar dados confidenciais e mudar para outros aplicativos conectados. Por esses motivos, o Netskope Threat Labs espera que a Microsoft continue sendo o principal alvo de phishing na nuvem em 2024, aumentando ainda mais sua liderança em relação a outros aplicativos.

Uma estratégia de phishing menos comum, mas que vem crescendo, é usar anexos de phishing em vez de links de phishing nos e-mails. Os anexos de phishing têm o objetivo de contornar os controles antiphishing que inspecionam apenas os links incorporados diretamente no próprio e-mail. O tipo mais comum de anexo de phishing é um documento PDF que parece ser uma fatura, orientando as vítimas a ligar para um número de telefone ou acessar um link se precisarem corrigir algo na fatura. Os anexos de phishing eram bastante raros no início de 2022, aumentaram no meio do ano, diminuíram e aumentaram novamente no final de 2023. Apesar do aumento, um usuário corporativo que faz o download de um anexo de phishing é menos comum do que um usuário que clica em um link de phishing ou faz o download de um Trojan. O Netskope Threat Labs espera que os anexos de phishing se tornem ainda mais comuns em 2024.

Perfis e objetivos dos adversários

Até agora, neste relatório, destacamos que os aplicativos de nuvem e SaaS continuam a crescer em popularidade na empresa, ganhando mais usuários e mais interações por usuário a cada ano. Também destacamos que a engenharia social foi a técnica de infiltração mais comum em 2023, com phishing e cavalos de Troia hospedados em aplicativos SaaS e direcionados a eles entre as principais técnicas. Mas quem eram os adversários que empregavam essas técnicas? Quais eram suas motivações e objetivos? Qual era o risco que eles representavam para as organizações que estavam alvejando? Esta seção explora as respostas a todas essas três perguntas.

O Netskope Threat Labs rastreia os adversários que estão ativamente visando os clientes da Netskope para entender melhor suas motivações, táticas e técnicas, para que possamos criar melhores defesas contra eles. Em geral, classificamos as motivações do adversário como criminosas ou geopolíticas.

Adversários criminais
O principal objetivo de um grupo criminoso adversário é o ganho financeiro, o que recentemente significou um grande foco na extorsão. A extorsão tem sido um negócio extremamente lucrativo para os criminosos cibernéticos, com uma estimativa de US$ 457 milhões em pagamentos de resgate feitos em 2022. Atualmente, os adversários criminosos expandiram seu portfólio de técnicas de extorsão para ajudar a aumentar a probabilidade de sucesso. Essas técnicas incluem:

Implantação de ransomware. O objetivo é paralisar as operações e os sistemas da vítima, criptografando todos os seus dados. A tática inicial de negociação é prometer a descriptografia dos dados se o usuário pagar o resgate. Alguns adversários chegam ao ponto de afirmar que estão ajudando a vítima - a vítima tem tanta sorte que o adversário benevolente só quer dinheiro para descriptografar os arquivos e não quer causar nenhum dano real. Imagine se alguém com intenções mais nefastas tivesse obtido acesso ao ambiente da vítima!
Implantação de um infostealer. Um infostealer rouba dados confidenciais da vítima, geralmente compactando e exfiltrando os dados por HTTP ou HTTPS para se misturar a outros tráfegos. Os dados roubados são usados como vantagem para convencer a vítima a pagar o resgate. Por exemplo, se a vítima puder restaurar facilmente a partir de backups e retomar as operações normais, ela não se sentirá particularmente motivada a pagar. Talvez a ameaça de expor publicamente dados confidenciais possa fazê-los mudar de ideia.
Sistemas de sabotagem. Os limpadores estão sendo mais comumente utilizados por organizações criminosas como uma tática final para ajudar a motivar o pagamento. Os adversários começarão a destruir dados e a colocar os sistemas off-line quanto mais tempo as negociações de extorsão continuarem, com a expectativa de que isso possa motivar ainda mais a vítima a pagar.

Embora tentemos rotular cada grupo criminoso adversário de acordo com o país em que opera, muitos grupos trabalham transnacionalmente. Além disso, muitos estão agora operando em um modelo de afiliados, tornando suas operações ainda mais dispersas. Como resultado, normalmente associamos um grupo ao país ou região onde se acredita que seus principais membros estejam localizados.

Adversários geopolíticos
Os grupos adversários geopolíticos geralmente são estados-nação ou seus representantes, e suas atividades geralmente refletem conflitos políticos, econômicos, militares ou sociais mais amplos. Os grupos geopolíticos normalmente se envolvem em operações cibernéticas contra outros estados-nação como uma estratégia moderna de relações internacionais. Os limites entre adversários geopolíticos e criminosos podem se confundir, pois alguns grupos geopolíticos também se envolvem em atividades com motivação financeira. As operações cibernéticas específicas realizadas por adversários geopolíticos variam, incluindo:

Espionagem cibernética
Sabotagem de infraestrutura crítica
Guerra de informações
Divulgação de propaganda
Manipulação da opinião pública
Influenciando as eleições

Atribuição
Atribuir a atividade a um grupo adversário específico pode ser um desafio. Os adversários tentam ocultar suas verdadeiras identidades ou até mesmo lançar intencionalmente operações de bandeira falsa, nas quais tentam fazer com que seus ataques pareçam vir de outro grupo. Vários grupos costumam usar as mesmas táticas e técnicas, alguns chegando a usar as mesmas ferramentas ou infraestrutura. Até mesmo a definição de grupos adversários pode ser desafiadora, pois os grupos evoluem ou os membros mudam de grupo. As atribuições dos adversários são confusas e sujeitas a mudanças e evoluções à medida que novas informações são reveladas.

A maior parte da atividade adversária direcionada aos clientes da Netskope em 2023 teve motivação criminosa, com adversários geopolíticos mais ativos contra usuários na Ásia e na América Latina. Na Ásia, a maior concentração de atividades de adversários geopolíticos visou vítimas na Índia e em Cingapura, e na América Latina visou vítimas no Brasil.

De modo geral, a maior parte da atividade adversária foi atribuída a grupos criminosos baseados na Rússia (visados em todo o mundo), seguidos por grupos geopolíticos na China (visados principalmente em vítimas na Ásia, especialmente em Cingapura). Os grupos adversários localizados em outras regiões foram responsáveis por menos de um quarto de toda a atividade adversária rastreada pelo Netskope Threat Labs em 2023. No restante desta seção, apresentamos um perfil do adversário para os cinco grupos adversários mais ativos em 2023, destacando suas motivações, táticas, técnicas e estratégias de direcionamento. Essa lista inclui três grupos criminosos sediados na Rússia e dois grupos geopolíticos sediados na China.

TA551

Localização: Rússia
Motivação: Criminoso
Pseudônimos: GOLD CABIN, Shathak

A atividade atribuída ao TA551 foi principalmente de cavalos de Troia bancários, especificamente variantes do Pinkslipbot, Ursnif e QakBot. O TA551 visava vítimas em todo o mundo e em vários setores verticais, incluindo manufatura, serviços financeiros, tecnologia e saúde. Embora muitas organizações criminosas tenham adotado uma estratégia centrada em extorsão, o TA551 parece estar satisfeito em manter sua estratégia comprovada de roubar informações bancárias diretamente de suas vítimas.

Aranha Mágica

Localização: Rússia
Motivação: Criminoso
Outros nomes: UNC1878, TEMP.MixMaster, Grim Spider, FIN12, GOLD BLACKBURN, ITG23, Periwinkle Tempest

O Wizard Spider talvez seja mais famoso por desenvolver o malware TrickBot e, desde então, passou a conduzir operações de ransomware. Em 2023, a Netskope rastreou a atividade associada ao Wizard Spider visando vítimas em todo o mundo. Na maioria de suas operações, eles usaram a popular ferramenta de equipe vermelha Cobalt Strike para estabelecer a persistência nos ambientes das vítimas. A estrutura do Cobalt Strike fornece um executável leve que é implantado no ambiente da vítima e se comunica com um servidor controlado pelo invasor. Normalmente, ele é usado para fornecer acesso remoto e implantar cargas úteis de malware adicionais (neste caso, principalmente ransomware). A maior parte da atividade do Wizard Spider que rastreamos em 2023 seguiu um padrão comum: evitar pesquisas de DNS comunicando-se diretamente com o servidor controlado pelo invasor por meio de seu endereço IP via HTTP.

TA505

Localização: Rússia
Motivação: Criminoso
Pseudônimos: Hive0065

O TA505 é outro grupo criminoso russo de ransomware e é responsável pelo ransomware Clop. Assim como o Wizard Spider, eles também usaram muito o Cobalt Strike para persistência e para implantar cargas úteis de ransomware. Eles também usaram o botnet Amaday para implantar ransomware e outros payloads de malware nos sistemas infectados. Semelhante ao Wizard Spider, seus implantes Cobalt Strike e Amadey tendiam a se comunicar diretamente com sua infraestrutura C2 por meio de endereços IP, ignorando as pesquisas de DNS. Ao contrário do Wizard Spider, que visava organizações em todo o mundo, as atividades do TA505 estavam concentradas na Ásia e na Europa.

APT41

Localização: China
Motivação: Geopolítica
Outros nomes: Panda malvado

O APT41 é um grupo de espionagem patrocinado pelo Estado que também se envolve em ataques de ransomware com motivação financeira. Embora suas atividades no passado tenham se espalhado por todo o mundo, suas atividades em 2023 se concentraram principalmente na Ásia e na Europa, especialmente em organizações de serviços financeiros sediadas em Cingapura. Como outros grupos, eles dependiam muito da estrutura do Cobalt Strike para persistência e para implantar cargas úteis adicionais. Eles também usaram o backdoor POISONPLUG, cujas variantes usam plataformas de mídia social como canais de comando e controle.

Terra Lusca

Localização: China
Motivação: Geopolítica
Outros nomes: TAG-22

O Earth Lusca está intimamente relacionado ao APT41, pois usa ferramentas muito semelhantes. Em 2023, eles usaram o Cobalt Strike e o POISONPLUG contra alvos em todo o mundo, abrangendo vários setores, incluindo serviços financeiros, manufatura, saúde, tecnologia e SLED.

Recomendações

A complexidade de um ambiente corporativo em que os usuários estão constantemente introduzindo novos aplicativos, enquanto os aplicativos existentes se tornam cada vez mais incorporados aos principais processos de negócios, pode tornar esses ambientes difíceis de proteger. O Netskope Threat Labs recomenda limitar o acesso aos aplicativos apenas àqueles que atendem a uma finalidade comercial legítima e criar um processo de revisão e aprovação para novos aplicativos. Para aplicativos amplamente utilizados e altamente integrados, a Netskope recomenda a implementação de um processo contínuo de gerenciamento de postura para garantir que os aplicativos sejam configurados para reduzir o risco para a organização. Também recomendamos a implementação de um processo de monitoramento contínuo que alertará os operadores de segurança quando os aplicativos estiverem sendo usados indevidamente ou tiverem sido comprometidos.

Com os aplicativos de IA generativa se estabelecendo na empresa, garantir a habilitação e a adoção seguras de aplicativos de IA deve ser uma prioridade urgente para a maioria das organizações. A habilitação segura envolve a identificação de aplicativos permitidos e a implementação de controles que capacitem os usuários a usá-los em seu potencial máximo e, ao mesmo tempo, protejam a organização contra riscos. Para obter informações mais detalhadas sobre como o Netskope pode ajudar, consulte o resumo da solução ChatGPT e Generative AI Data Protection.

Em vista do aumento contínuo da engenharia social para acesso inicial, o Netskope Threat Labs recomenda investimentos contínuos na redução do risco de engenharia social, incluindo treinamento de conscientização de segurança e tecnologia antiphishing. Devido ao crescente foco dos adversários em visar e abusar dos aplicativos de nuvem e SaaS, as organizações devem garantir que suas soluções de segurança inspecionem minuciosamente todo o tráfego de rede (inclusive o tráfego de e para aplicativos populares de nuvem e SaaS) e monitorem ativamente os aplicativos gerenciados em busca de sinais de abuso e comprometimento.

Há muitos pontos em comum entre os grupos adversários ativos, incluindo a instalação de implantes, como o Cobalt Strike, para permitir o acesso remoto clandestino; a implantação de ransomware, infostealers e wipers; e as subsequentes tentativas de extorsão. O bloqueio do acesso remoto, a aplicação de patches nos sistemas contra explorações conhecidas e a redução dos riscos de engenharia social podem ajudar a impedir o acesso inicial e, portanto, também a atividade mais significativa e dispendiosa do invasor. No entanto, camadas adicionais de controles também devem ser implementadas para capturar adversários determinados que conseguem passar pelas camadas iniciais. Essas camadas extras incluem a implementação de segurança de rede e de endpoint que pode bloquear tentativas de invasão, comunicações de comando e controle e exfiltração de dados maliciosos. Elas também incluem a implementação de ferramentas de segurança de rede e de endpoint que podem detectar a atividade incomum que normalmente ocorre quando um adversário se infiltra em um sistema, mas ainda não implementou ransomware ou exfiltrou dados. A detecção e a interrupção de um adversário nesse estágio ainda podem evitar que um ataque se torne prejudicial ou dispendioso.

Uma estratégia de segurança cibernética em várias camadas, focada na redução de riscos, no bloqueio das atividades dos adversários e no monitoramento contínuo, pode ajudar a proteger as organizações contra as perdas surpreendentes causadas por um ataque cibernético bem-sucedido.

Relatórios de nuvem e ameaças

O Netskope Cloud and Threat Report traz informações exclusivas sobre a adoção de aplicativos na nuvem, mudanças no panorama das ameaças preparadas para a nuvem e os riscos para os dados corporativos.

Procurar relatórios

Tempestade com relâmpagos sobre a cidade à noite

Acelere seu programa de segurança com o líder em SASE.

Iniciar