O malware para roubo de dados e o malware para roubo de credenciais são as duas principais ameaças que as PME enfrentaram em 2023, representando quase 50% de todo o malware detetado pela Sophos neste segmento de mercado.
O ransomware continua a ser a maior ameaça para as PME e a fraude através de emails corporativos está a aumentar, bem como as táticas de engenharia social mais sofisticadas. Foi inclusive avançada uma notícia pela G3Tech, no mês passado, relatando a desarticulação da maior rede de ransomware do Mundo.
A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, divulgou o seu relatório Sophos Threat Report 2024 (SRT24), que detalha o “Cybercrime on Main Street” (o cibercrime torna-se cada vez mais prevalente e mainstream) e as maiores ameaças enfrentadas pelas pequenas e médias empresas (PME*). De acordo com este relatório, em 2023 quase 50% do malware detetado em PME foram keyloggers, spyware e stealers (utilizados pelos atacantes para roubar dados e credenciais). Os atacantes utilizam, depois, essas informações roubadas para obter acesso remoto não autorizado, extorquir as vítimas, instalar ransomware, e mais.
O SRT24 também analisa os brokers de acesso inicial (IABs, na sua sigla em inglês) – ou seja, criminosos especializados em invadir redes de computadores. Os dados do relatório mostram que os IABs estão a utilizar a dark web para anunciar as suas capacidades e serviços, de forma a invadir especificamente redes de PME ou vender acesso ‘chave na mão’ a PME que já conseguiram infiltrar.
“O valor dos ‘dados’ enquanto moeda aumentou exponencialmente entre os cibercriminosos, e isto é particularmente mais real para as PME, que tendem a utilizar um serviço ou aplicação de software, por função, para toda a sua operação. Por exemplo, os atacantes podem instalar um infostealer na rede do seu alvo para roubar credenciais, e depois obter a palavra-passe do software de contabilidade da empresa. Neste caso, os atacantes poderiam ter acesso às finanças desta e conseguir canalizar os fundos para as suas próprias contas,” mencionou Christopher Budd, Director, Sophos X-Ops Research da Sophos. “Há uma razão pela qual mais de 90% de todos os ciberataques reportados à Sophos em 2023 envolveram roubo de dados ou credenciais, seja através de ataques de ransomware, extorsão de dados, acesso remoto não autorizado ou simplesmente roubo de dados.”
O ransomware continua a ser a maior ciberameaça para as PME
Embora o número de ataques de ransomware contra PME tenha estabilizado, esta continua a ser a maior ciberameaça para estas empresas. Nos casos de PME a que a equipa Sophos Incident Response (IR), que apoia as organizações sob ataque ativo, deu resposta, o LockBit foi o principal grupo de ransomware a causar danos, seguido pelo Akira e pelo BlackCat. As PME analisadas no SRT24 também enfrentaram ataques de ransomware mais antigo e menos conhecido, como o BitLocker e o Crytox.
De acordo com o SRT24, os operadores de ransomware continuam a alterar as táticas de ransomware, recorrendo a encriptação remota e a atacar Fornecedores de Serviços Geridos (MSPs). Entre 2022 e 2023, o número de ataques de ransomware que envolveram encriptação remota – em que os invasores utilizam um dispositivo não gerido nas redes das organizações para encriptar ficheiros noutros sistemas da rede – aumentou 62%.
Para além disso, no ano passado a equipa de Deteção e Resposta Geridas (MDR) da Sophos respondeu a cinco casos que envolviam pequenas empresas atacadas por um exploit no software de gestão e monitorização remota (RMM) dos seus MSPs.
Os atacantes aperfeiçoam os ataques de engenharia social e de Comprometimento de Emails Corporativos (BEC)
O SRT24 revelou que, depois do ransomware, os ataques de comprometimento de emails corporativos (BEC, na sua sigla em inglês) foram o segundo tipo mais relevante com que a Sophos IR lidou em 2023.
Estes ataques BEC e outras campanhas de engenharia social apresentam um nível crescente de sofisticação. Os atacantes já não se limitam a enviar um email com um anexo malicioso; agora, têm mais probabilidades de envolverem os seus alvos na burla, encentando várias conversas por email ou mesmo através de chamadas.
Numa tentativa de evitar ser detetados pelas ferramentas tradicionais de prevenção de spam, os atacantes estão agora a experimentar novos formatos para o seu conteúdo malicioso, incorporando imagens com um código malicioso ou enviando anexos no OneNote ou em formatos de arquivo. Num dos casos investigados pela Sophos, os atacantes enviaram um documento PDF com uma thumbnail desfocada e ilegível de uma “fatura”. O botão de download continha um link para um site malicioso.
