Cibercrime está mais organizado devido a colaboração entre grupos, revela estudo

A edição mais recente da pesquisa Threat Insights Reports da HP Wolf Security mostra que cibercriminosos estão operando de forma mais coletiva e baseada no compartilhamento de informações. Segundo a pesquisa, a primeira metade de 2021 registrou um aumento de 65% (em relação ao mesmo período de 2020) no número de ferramentas de hack baixadas e compartilhadas através de serviços de hospedagem e fóruns clandestinos.

O relatório aponta que, motivados pelos ganhos financeiros de suas ações, muitos atores maliciosos começaram a vender o acesso a sistemas a outros grupos, especialmente nos casos em que o alvo é relacionado a um domínio do Active Directory. Os pesquisadores afirmam que isso serve como indício de que as máquinas afetadas fazem parte de ações maiores que envolvem a movimentação lateral dos ataques.

Outro fator responsável por uma maior colaboração entre os cibercriminosos são os ataques de ransomware. Eles geraram uma demanda crescente por pontos de acesso comprometidos, que podem ser acessados por gangues com menos recursos e revendidos de forma segura — tudo amparado por softwares de comunicação criptografados e sistemas de transferências de criptomoedas que garantem a privacidade dos agentes envolvidos.

Trocas beneficiam as ameaças

Segundo os pesquisadores, a maior comunicação entre os cibercriminosos têm propiciado a criação e troca de ameaças mais poderosas. Um dos casos estudados por eles foi de uma ferramenta que consegue solucionar desafios CAPTCHA usando técnicas de visão computacional, incluindo o reconhecimento óptico de caracteres (OCR), para realizar ataques de preenchimento de credenciais vazadas. A ferramenta, conhecida como Sentry MBA, estava disponível em um fórum em turco e podia ser usada livremente por seus frequentadores.

Confira as principais tendências apontadas pela HP Wolf Security:

• 75% das ameaças isoladas pelos pesquisadores forem entregues por mensagens de e-mail;
  Os 25% restantes foram download feitos através da web;
• Houve um aumento de 24% nos downloads de ameaças feitos em navegadores;
• 34% das ameaças tinham um hash desconhecido por softwares antivírus no momento da detecção;
• 49% dos e-mails com links falsos prometiam transações comerciais;
• Somente 1% das mensagens usavam a COVID-19 como isca, sinal de que o tema está se tornando pouco efetivo;
• A vulnerabilidade CVE-2017-11882, associada ao Microsoft Office e ao WordPad, teve um aumento de 24% no uso de ameaças que a exploram. Ela é conhecida por explorar uma corrupção de memória, e é popular por ser um meio fácil de disfarçar ameaças que se escondem como ordens de compra, recebidos, especificações de produtos e relatórios de controle de qualidade.

O estudo também apontou uma tendência de aumento no uso de arquivos maliciosos com o formato Java Archive files (.JAR), que afetam máquinas nas quais o Java Runtime Environment está instalado. Segundo a empresa, eles servem como etapa inicial de uma infeção e iniciam a transferência de trojans de acesso remoto (RATs) — obtidos facilmente em mercados clandestinos — como pacote mais comum.

Segundo o Dr. Ian Pratt, chefe global de Segurança de Sistemas pessoais da HP, departamentos de TI precisam investir em soluções de segurança que permitam que pessoais fiquem à frente de ameaças futuras. Em um ambiente de troca de informações, ele defende que violações leves deixaram de existir e que é preciso investir na contenção de ameaças, minimizar a superfície de ataques e prestar atenção especial aos principais vetores de ataques — e-mails, navegador e downloads — para manter corporações protegidas.