Relatório de nuvem e ameaças: principais táticas e técnicas adversárias

O principal grupo adversário que visava os usuários da plataforma Netskope Security Cloud era o Wizard Spider (também conhecido como UNC1878, Temp.MixMaster, Grim Spider), um adversário criminoso baseado na Rússia creditado por criar o malware TrickBot. O malware TrickBot foi originalmente criado como um Trojan bancário, mas desde então evoluiu para uma plataforma de malware complexa contendo componentes de roubo de informações, movimento lateral, comando e controle e exfiltração de dados. Como é típico de grupos criminosos de adversários, o Wizard Spider tem como alvo uma grande variedade de organizações de vítimas com ransomware. Entre as táticas e técnicas usadas pelo Wizard Spider estão as seis técnicas destacadas neste relatório sobre spearphishing, execução de usuários e comando e controle.

Outros grupos criminosos ativos que dependem fortemente do ransomware incluem o TA505 (a.k.a. Hive0065), responsável pelo ransomware Clop, e FIN7 (a.k.a. GOLD NIAGARA, ITG14, Carbon Spider), que usou o ransomware REvil e criou o ransomware Darkside. Embora os principais grupos criminosos que visam os clientes da Netskope sejam russos e ucranianos, os principais grupos adversários geopolíticos são chineses, liderados pelo memupass (também conhecido como Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) e Aquatic Panda, ambos têm como alvo uma variedade de tipos diferentes de organizações em todo o mundo.

A geografia e o setor são fatores importantes para determinar quais adversários provavelmente terão como alvo uma organização. Os adversários geopolíticos tendem a visar regiões e setores específicos para obter sua propriedade intelectual, enquanto os adversários com motivação financeira tendem a desenvolver manuais otimizados para visar organizações semelhantes, onde podem reciclar técnicas com o mínimo de personalização. Por setor vertical, há dois que se destacam: serviços financeiros e saúde. Nessas duas verticais, a divisão entre atividades criminosas e de adversários geopolíticos é quase 50/50. Enquanto isso, nas outras verticais do setor, a divisão está mais próxima de 80/20. Isso indica que as organizações dos setores de serviços financeiros e de saúde são mais comumente visadas por adversários geopolíticos.

Essas diferenças também são evidentes quando se comparam as fontes prováveis da atividade do adversário em cada setor. Como muitos dos adversários criminosos que estamos rastreando estão localizados na Rússia, os setores com a maior porcentagem de atividade criminosa também têm as maiores porcentagens de atividade atribuíveis a grupos baseados na Rússia. Enquanto isso, os serviços financeiros e de saúde (os setores visados por mais adversários geopolíticos) têm uma mistura mais uniforme de adversários da Rússia, do Oriente Médio e da China. As outras localidades adversárias não mostradas no gráfico abaixo incluem Coreia do Norte, Paquistão, Índia, Vietnã e Nigéria.

Por região, os adversários mais ativos também diferem significativamente, com duas regiões de destaque: Austrália e América do Norte. Isso indica que os usuários nos EUA e na Austrália têm maior probabilidade de serem alvos de adversários criminosos, enquanto em outras partes do mundo a divisão da atividade adversária geopolítica e criminosa está mais próxima de 50/50.

O detalhamento da atividade regional dos adversários segue um padrão semelhante ao dos dados do setor: as regiões visadas por grupos criminosos tendem a ser visadas por grupos sediados na Rússia, enquanto as regiões com uma porcentagem maior de atividade geopolítica tendem a ver uma porcentagem mais significativa de atividade dos adversários atribuída a grupos geopolíticos na China.

A estrutura Mitre ATT&CK fornece uma linguagem comum para grupos adversários, suas táticas e suas técnicas. Os defensores podem usar essa estrutura para determinar se suas defesas estão adequadamente combinadas com seus adversários. Para cada uma das técnicas discutidas neste relatório, esta seção fornece recomendações específicas.

Acesso inicial: Links de spearphishing
Implemente defesas antiphishing que vão além do e-mail para garantir que os usuários estejam protegidos contra links de spearphishing, independentemente de sua origem. Uma solução SWG que inspeciona o tráfego DNS, o tráfego da nuvem e o tráfego da Web em busca de evidências de phishing pode impedir que os usuários visitem links de spearphishing, independentemente da origem, usando assinaturas e inteligência para proteger contra ameaças de phishing conhecidas e IA para proteger contra ameaças desconhecidas e direcionadas. Netskope os clientes podem configurar seus Netskope Next Gen Secure Web Gateway para se protegerem contra phishing. A tecnologia Remote Browser Isolation (RBI) pode oferecer proteção adicional quando há necessidade de visitar sites em categorias que podem apresentar maior risco, como domínios recém-observados e recém-registrados, webmail pessoal e mídias sociais.

Acesso inicial: Anexos de Spearphishing
Embora as proteções de link de spearphishing também possam ajudar a proteger os usuários que clicam em links em anexos de spearphishing, uma defesa mais robusta fornecerá proteções adicionais contra usuários que baixam anexos de spearphishing. Como eles podem vir de várias fontes, uma estratégia eficaz inspecionará todos os downloads HTTP e HTTPS, incluindo todo o tráfego da Web e da nuvem, em busca de evidências de spearphishing usando inteligência contra ameaças, assinaturas, heurística e IA. Netskope os clientes podem configurar sua política de Netskope Next Gen Secure Web Gateway com uma política de Threat Protection que se aplica a downloads de todos os tipos de arquivos de todas as fontes. A inspeção de downloads de conteúdo de aplicativos de nuvem populares (como o Microsoft OneDrive) é particularmente importante para proteger contra adversários que abusam desses aplicativos para distribuir malware.

Execução: Link malicioso e Execução: Arquivo malicioso
Como os adversários usam vários canais para transmitir malware, incluindo aplicativos populares na nuvem, como o Microsoft OneDrive, uma estratégia defensiva eficaz deve inspecionar todo o tráfego, incluindo a web e a nuvem, em busca de conteúdo malicioso. Certifique-se de que os tipos de arquivos de alto risco, como executáveis e arquivos, sejam cuidadosamente inspecionados usando uma combinação de análise estática e dinâmica antes de serem baixados. Os clientes do Netskope Advanced Threat Protection podem utilizar uma Política de Prevenção de Paciente Zero para reter downloads até que sejam totalmente inspecionados por vários mecanismos de análise estática e dinâmica, incluindo aqueles que utilizam IA para detectar ataques direcionados. Netskope Os clientes podem configurar seus Netskope Next Gen Secure Web Gateway com uma política de Proteção contra Ameaças que se aplica a downloads de todos os tipos de arquivos de todas as fontes. Para reduzir ainda mais a superfície de risco, configure políticas para bloquear downloads de aplicativos que não são usados em sua organização para reduzir sua superfície de risco apenas para os aplicativos e instâncias (corporativos versus pessoais) necessários. Bloqueie downloads de todos os tipos de arquivos arriscados de domínios recém-registrados, domínios recém-observados e outras categorias arriscadas.

Comando e controle: Protocolo da camada de aplicativos: Protocolos da Web
Uma estratégia eficaz para detectar e prevenir o tráfego C2 adversário por meio de protocolos da web inclui o uso de um SWG e um IPS para bloquear a comunicação com a infraestrutura C2 conhecida e exibir padrões C2 comuns. Os clientes do Netskope Advanced Threat Protection podem utilizar os recursos IPS e UEBA avançado para identificar tráfego C2 e outros sinais de comportamento pós-comprometimento. Bloquear domínios recém-registrados, domínios recém-observados e alertar sobre padrões incomuns de tráfego de rede também podem reduzir a superfície de risco e permitir a detecção precoce. A segurança do DNS e o Cloud Firewall também podem ser usados para proteger contra tráfego C2 não HTTP/HTTPS.

Exfiltração: Exfiltração pelo canal C2
As mesmas proteções para detectar e prevenir o tráfego C2 adversário também podem ser eficazes contra a exfiltração de dados pelo mesmo canal C2 ou por qualquer outro protocolo da web. Os clientes da Netskope que utilizam DLP podem configurar políticas que restringem onde os dados podem ser carregados, limitando efetivamente os canais pelos quais o invasor pode extrair dados. Os clientes da Netskope que utilizam o Advanced UEBA têm proteções adicionais contra C2, que incluem a identificação de anomalias na transferência de dados, incluindo picos de uploads para locais incomuns e a transferência de conteúdo criptografado ou codificado (uma técnica comum utilizada por adversários).

Em resumo, uma avaliação de qual tráfego é inspecionado versus contornado é vital para que suas defesas protejam usuários, dados, aplicativos e infraestrutura contra esses adversários. Sabendo que o senhor está inspecionando todo o tráfego possível, a próxima etapa é alinhar as defesas às seis técnicas mencionadas neste relatório. Algumas defesas dependerão de assinaturas e padrões, enquanto as inovações em IA/ML (por exemplo, algoritmos, extratores de recursos e detecção de anomalias) podem ser usadas para proteger contra ameaças desconhecidas ou de dia zero. Uma ou duas vezes por ano, avalie como os adversários estão se movimentando para evitar as defesas atuais e analise quais novas defesas estão disponíveis para proteger seus usuários, dados, aplicativos e infraestrutura.