A Rapid7 revelou seu Relatório de Inteligência de Ataque de 2024, lançando luz sobre o cenário em evolução das ameaças cibernéticas e oferecendo insights críticos para profissionais de segurança. O relatório baseia-se em extensa pesquisa, incorporando mais de 1.500 pontos de dados selecionados sobre vulnerabilidades e explorações, análise de mais de 180 campanhas de ameaças avançadas e vários incidentes de ransomware. As descobertas são reforçadas por dados de trilhões de eventos de segurança rastreados por meio dos serviços gerenciados de detecção e resposta (MDR) e análise de ameaças do Rapid7.
Uma das revelações significativas do relatório é a prevalência de vulnerabilidades de dia zero, que em 2023 representaram 53% dos eventos de comprometimento em massa – isto marca a segunda vez em três anos que as vulnerabilidades de dia zero ultrapassaram as vulnerabilidades de dia um, causando problemas generalizados. As explorações contra dispositivos de borda de rede, como dispositivos VPN e gateways de segurança, desempenharam um papel importante nessa explosão, sendo responsáveis por mais de um terço dos ataques.
Além disso, ao contrário da maioria das explorações de dia um para falhas conhecidas, que normalmente são usadas por vários atores de ameaças assim que uma exploração se torna disponível, as explorações de dia zero têm sido usadas principalmente por adversários únicos e sofisticados que têm como alvo dezenas ou centenas de organizações em suas campanhas de ataque, segundo os pesquisadores.
“Essas não são as ameaças cibernéticas dos nossos avós – trata-se de um ecossistema de crime cibernético maduro e bem organizado em ação, com mecanismos cada vez mais sofisticados para obter acesso, estabelecer persistência e evitar a detecção”, escreveram os pesquisadores em seu relatório.
Markswell Coelho, coordenador da IBSEC - Instituto Brasileiro de Cibersegurança, acredita que “em resposta, seria sensato que os CISOs reavaliassem suas estratégias de segurança de TI com ciclos de exploração mais curtos e resposta pós-incidente como prioridade”.
A mudança para resposta a incidentes
Os pesquisadores do Rapid7 rastrearam mais de 60 vulnerabilidades que foram amplamente exploradas em 2023 e no início deste ano. Dessas, mais da metade foram novas falhas descobertas nesse período; dessas novas falhas, 53% eram de dia zero quando inicialmente encontradas.
É importante notar que os pesquisadores do Rapid7 consideram uma vulnerabilidade a exploração em massa ou generalizada quando é usada em ataques do mundo real para atingir muitas organizações em diferentes setores verticais e geolocalizações da indústria. Os pesquisadores observam que não incluíram em seu rastreamento falhas de dia zero para as quais apenas uma exploração de prova de conceito foi publicada na Internet.
Eles também não consideraram as tentativas de exploração contra os milhares de honeypots criados por empresas de segurança em todo o mundo como ataques reais, porque isso distorceria a percepção de quão difundida é uma ameaça, potencialmente distraindo as organizações de priorizar para onde direcionar os seus recursos limitados.
“As organizações devem conduzir investigações de resposta a incidentes que procurem indicadores de comprometimento (IOCs) e atividades pós-exploração durante eventos de ameaças generalizadas, além de ativar protocolos de correção de emergência”, aconselha Markswell Coelho.
Ciclos de exploração mais curtos, mais pressão sobre a segurança
Segundo a pesquisa, o número de explorações de dia zero explodiu desde 2021 e o tipo de agentes de ameaças que as utilizam não se limita a grupos de ciberespionagem patrocinados pelo Estado, mas também a gangues de crimes cibernéticos que promovem ransomware e malware de mineração de criptografia. Em 2020, as explorações de dias um superaram as de dias zero, 3 para 1; em 2021, as de dias zero representaram mais de metade dos ataques generalizados, nunca mais regressando aos níveis anteriores.
“Desde 2021, os pesquisadores do Rapid7 monitoram o tempo entre o momento em que as vulnerabilidades se tornam conhecidas do público e o momento em que são relatadas (de forma confiável) como exploradas na natureza”, disseram os pesquisadores. “Essa janela, que chamamos de ‘Tempo para Exploração Conhecida’, ou TTKE, diminuiu consideravelmente nos últimos três anos, em grande parte como resultado dos ataques predominantes de dia zero”.
Os ataques de dia zero têm um TTKE de 0, porque as falhas são exploradas antes de serem conhecidas publicamente. Como tal, é difícil tirar uma conclusão relevante calculando os TTKEs médios, mas os investigadores apontam que de todas as falhas (de dia zero e de dia um) rastreadas desde 2021, 55% foram exploradas na primeira semana após a divulgação pública e 60% nas primeiras duas semanas. Esta é uma grande diferença em relação a 2020, quando 30% foram explorados durante a primeira semana e 32% nas primeiras duas semanas.
Markswell afirma: “a conclusão é clara: com a redução dos ciclos de ataque, os profissionais de segurança de TI têm menos tempo para confiar em patches e mitigações e agora devem gastar mais tempo tentando limitar os danos que os invasores podem causar, concentrando-se em controles e detecções pós-exploração”.
Mais informações: IBSEC