Skip links

Crescimento da tática de malware Hunter-Killer: furtiva, persistente e agressiva.

Uma tática de malware apelidada de “caçador-assassino” está crescendo, com base na análise de mais de 600 mil amostras de malware. 

Esta pode tornar-se a abordagem padrão para ataques avançados.

Uma tática de malware apelidada de “caçador-assassino” está crescendo, com base na análise de mais de 600 mil amostras de malware. Esta pode tornar-se a abordagem padrão para ataques avançados.

Houve um aumento notável em uma tática de malware chamada de malware “caçador-assassino”. O nome vem da guerra submarina moderna: os submarinos permanecem escondidos até atacarem. O uso de malware caçador-assassino cresceu ao longo de 2023 e espera-se que continue crescendo. 

“Estamos testemunhando um aumento de malware ultra-evasivo e altamente agressivo que compartilha as características dos submarinos caçadores-assassinos”, disse o Dr. Suleyman Ozarslan, cofundador da Picus Security e vice-presidente do Picus Labs. Ele está falando sobre malware que evita a detecção e desativa as defesas de segurança cibernética. 

A analogia do submarino poderia ser levada mais longe. Os submarinos Vanguard do Reino Unido são projetados para entregar uma carga nuclear contra o inimigo. Na analogia do Picus, isso seria a entrega de uma carga de malware – como um ransomware. No entanto, não faz parte da definição de malware caçador-assassino Picus.

As conclusões alcançadas no relatório , The Rise of Hunter-Killer Malware , são extraídas de uma análise das dez técnicas MITRE ATT&CK mais prevalentes. Estes não são necessariamente os dez primeiros em números absolutos, uma vez que o Picus se concentra em técnicas pós-comprometimento (phishing, acesso inicial, reconhecimento, por exemplo, não estão incluídos).

Além disso, embora a Picus tenha analisado 600.000 amostras de malware durante 2023 (e mapeado uma média de 13 atividades maliciosas por amostra para a estrutura ATT@CK), ela observa que este é apenas um subconjunto do cenário geral de malware. “Essa limitação pode introduzir um viés na visibilidade dos tipos e comportamentos de malware”, alertam os pesquisadores.

Apesar disso, as conclusões da empresa são nítidas e claras. As quatro técnicas mais usadas são todas aspectos de malware caçador-assassino — e o uso de cada uma aumentou dramaticamente durante 2023. As quatro principais são T1055 (injeção de processo); T1059 (interpretador de comandos e scripts); T1562 (prejudicar as defesas); e T1082 (descoberta de informações do sistema). O elemento ‘Vanguarda’ da analogia do submarino aparece em #5, T1486 (dados criptografados para impacto) e #7, T1071 (protocolo da camada de aplicação).

A implicação é óbvia: há um aumento no uso de evasão e comprometimento da defesa antes da eliminação da carga útil do malware. 

T1055 . A injeção de processos é um elemento-chave da evasão “viver da terra”: a inserção de código malicioso em um processo legítimo. O principal uso do invasor é a evasão de defesa (furtividade) e o escalonamento de privilégios. Esteve presente em 32% (195.044) das amostras de malware, acima dos 22% em 2022 (um aumento de 45%).

T1059 . A técnica do interpretador de comandos e scripts fornece um efeito semelhante. Ele permite que o invasor disfarce atividades maliciosas usando ferramentas nativas (como PowerShell, VBScript, Unix Shell, AppleScript e mais) e novamente contorne as defesas tradicionais. Foi encontrado em 174.118 (28%) das 600.000 amostras.

T1562 . A técnica de prejudicar as defesas é usada para perturbar as defesas – é efetivamente o lado “assassino” mais agressivo da evasão. O relatório inclui vários exemplos. O ransomware BabLock usa o utilitário de linha de comando de eventos do Windows para remover determinados logs de eventos do Windows; LockBit altera o Registro para o mesmo efeito. Qubitstrike explora HISTCONTROL para evitar que seus próprios comandos maliciosos sejam registrados na lista de histórico de comandos. Outros malwares podem alterar as regras de firewall: Glupteba RAT adiciona uma regra de firewall permitindo conexões de entrada ao seu executável.

A técnica de evasão de defesa ATT@CK foi encontrada em 158.661 amostras de malware (26%). Este é um aumento de 333% em relação ao ano anterior. Isso marca, dizem os pesquisadores, uma mudança significativa nas estratégias de ataque cibernético. “Os atores de ameaças estão transformando malware em ‘caçadores-assassinos’ proativos de defesas de segurança cibernética, visando diretamente e interrompendo as ferramentas destinadas a proteger as redes.”

T1082 . A descoberta de informações do sistema é usada para coletar informações sobre a rede, incluindo hardware, software e configurações de rede. Ele pode ser usado para localizar sistemas conhecidos por serem exploráveis ​​ou pode ser usado para descobrir software adequado para uso em residências mais persistentes e furtivas. “A descoberta de informações do sistema subiu do quinto para o quarto lugar, indicando sua crescente importância no uso bem-sucedido de ferramentas nativas de sistema operacional para coleta discreta de informações”, observa o relatório. A técnica foi encontrada em 143.795 amostras de malware (23%).

A quinta e a sétima técnicas mais prevalentes ajudam a explicar o crescimento das quatro primeiras. O número 5 é T1486 (dados criptografados para impacto) e o número 7 é T1071 (protocolo da camada de aplicativo). O primeiro é parte integrante do ransomware, por isso a sua prevalência não é surpreendente. A incidência de limpadores (criptografia sem capacidade de descriptografia) também aumentou nos últimos dois anos, frequentemente associada à guerra Rússia/Ucrânia. 

O último é o T1071 (protocolo da camada de aplicação), usado para exfiltração de dados. Picus conecta exfiltração e criptografia de dados com a crescente incidência de ransomware de dupla extorsão, citando BlackCat/AlphV contra NCR e Henry Schein , Cl0p visando o Departamento de Energia dos EUA, Royal violando a cidade de Dallas , os ataques da LockBit à Boeing , CDW e MCNA , e Scattered Spider infiltrando-se no MGM Resorts e no Caesars Entertainment como exemplos. 

É claro que o ransomware pode não ser a única razão para o aumento no uso do T1071, uma vez que a combinação de persistência furtiva e exfiltração de dados é uma boa combinação para espionagem cibernética. Visivelmente, o T1547 é o 8º em prevalência – execução de inicialização automática de inicialização ou logon para persistência.

Pelos números, o T1486 foi encontrado em 129.969 amostras (21%); T1071 foi encontrado em 108.373 amostras (18%, mas um aumento de 176% em relação ao ano anterior); e T1547 foi encontrado em 90.009 amostras (15%).

É difícil chegar a qualquer conclusão, exceto que os atacantes estão se tornando mais sofisticados em seus ataques, usando técnicas submarinas caçadoras-assassinas para evitar a detecção e desmantelar as defesas antes de passarem para o submarino Vanguard com o objetivo de entregar uma carga útil. 

Picus sugere que uma das causas desta combinação de técnicas ATT@CK pode ser as atuais tensões geopolíticas globais. “A coleta de informações confidenciais e a manutenção de uma presença nas redes são marcas registradas das ameaças persistentes avançadas (APTs). Isto poderia sinalizar o envolvimento de adversários sofisticados e bem financiados. Entidades notáveis ​​como o APT28 (Fancy Bear) e o APT29 (Cozy Bear) da Rússia, juntamente com a Star Blizzard, o Volt Typhoon da China e o Lazarus Group da Coreia do Norte demonstraram atividade significativa durante 2023. As operações estratégicas desses grupos em 2023 indicam uma tendência crescente de campanhas de ataque patrocinadas pelo estado.”

No entanto, quer se trate de grupos APT ou simplesmente de gangues criminosas mais sofisticadas, o resultado é o mesmo: os atacantes utilizam cada vez mais defesas furtivas e mortíferas para esconder e prolongar a sua residência. Torna-se importante que os defensores verifiquem regularmente e garantam que as suas defesas ainda estão a funcionar e não foram neutralizadas pelos atacantes.

“Pode ser incrivelmente difícil detectar se um ataque desativou ou reconfigurou as ferramentas de segurança, porque elas ainda parecem estar funcionando conforme o esperado”, disse Huseyin Can YUCEEL, líder de pesquisa de segurança da Picus. “A validação da segurança deve ser um ponto de partida para que as organizações compreendam melhor a sua preparação e identifiquem lacunas.”


FONTE:https://www.securityweek.com/

Acesse nosso Instagram

Acesse nosso LinkedIn

This website uses cookies to improve your web experience.
pt_BRPortuguese