A revisão semestral do cenário de ameaças da Rapid7 não é tranquilizadora. O ransomware permanece alto, as defesas básicas de segurança não estão sendo usadas, a maturidade da segurança é baixa e o retorno do investimento para a criminalidade é potencialmente enorme.
O análise é compilado a partir das observações dos pesquisadores da Rapid7 e de suas equipes de serviços gerenciados. Ele descobre que houve mais de 1.500 vítimas de ransomware em todo o mundo no primeiro semestre de 2023. Isso incluiu 526 vítimas de LockBit, 212 vítimas de Alphv/BlackCat, 178 vítimas de ClOp e 133 vítimas de BianLian. Os números são compilados a partir de comunicações do local de vazamento, divulgações públicas e dados de resposta a incidentes do Rapid7.
Esses números devem ser vistos como conservadores. Eles não incluirão organizações que silenciosamente e com sucesso pagam o resgate como se nada tivesse acontecido. Ademais, as vítimas a jusante ainda estão sendo calculadas – por exemplo, observa o relatório: “O número de incidentes atribuídos ao Cl0p neste gráfico provavelmente será (significativamente) baixo, uma vez que o grupo ainda está reivindicando ativamente novas vítimas de maio de 2023 zero ataque de um dia ao MOVEit Transfer.”
O ransomware é bem-sucedido por dois motivos: o potencial de lucro muito alto para os criminosos e a postura de segurança inadequada de muitos alvos em potencial. Três fatores ilustram o último. Em primeiro lugar, quase 40% dos incidentes foram causados pela falta ou aplicação negligente de MFA (autenticação multifatorial) – apesar de muitos anos de exortações para implementar essa defesa básica.
Em segundo lugar, a postura geral de segurança permanece baixa para muitas organizações. Os consultores da Rapid7 realizaram várias avaliações de segurança para clientes, “com apenas uma única organização até agora em 2023 atendendo às nossas recomendações mínimas para maturidade de segurança, conforme medido em relação aos benchmarks CIS e NIST”.
Embora a segurança dessas empresas possa melhorar após a avaliação, os números mostram que um número substancial de organizações não atende aos padrões mínimos de segurança.
Em terceiro lugar, e reforçando o segundo fator, vulnerabilidades antigas continuam sendo bem-sucedidas para os invasores. “Dois exemplos incríveis do 1S 2023 são CVE-2021-20038, uma vulnerabilidade descoberta pelo Rapid7 em dispositivos da série SonicWall SMA 100, e CVE-2017-1000367, uma vulnerabilidade no comando sudo que permite a divulgação de informações e a execução de comandos”, diz o relatório.
Isso não significa que novas vulnerabilidades não tenham sido descobertas e exploradas no primeiro semestre de 2023. “No geral, mais de um terço das vulnerabilidades de ameaças generalizadas foram usadas em ataques de dia zero, que permanecem predominantes entre os CVEs de 2023 explorados”, continua o relatório , acrescentando: “Nossa equipe também observou várias instâncias de exploração Adobe ColdFusion CVE-2023-26360, o que pode indicar que a vulnerabilidade está sendo explorada de forma mais ampla do que os ‘ataques muito limitados’ que a Adobe divulgou em seu comunicado.”
No entanto, o crime organizado (como o que está por trás das gangues de ransomware) não ataca os negócios simplesmente porque pode – é movido pelo lucro. O relatório Rapid7 demonstra como o cibercrime pode ser lucrativo.
Os corretores de exploração continuam em demanda na dark web, vendendo inúmeras explorações de dia zero de dispositivos de rede por mais de US$ 75.000. Rapid7 aponta que, mesmo com um preço dez vezes maior, um único uso bem-sucedido em um ataque de ransomware forneceria um retorno considerável sobre o investimento.
“Com toda a probabilidade, um agente de ameaças como o Cl0p seria facilmente capaz de pagar um bando de explorações de dia zero para software corporativo vulnerável – permitindo que o grupo acumulasse e aprimorasse recursos proprietários enquanto conduzia o reconhecimento de alvos de alta receita”, diz Rapid7 . “Também não é um caso de uso teórico; há indícios de que Cl0p testou sua exploração de dia zero para MOVEit Transfer (CVE-2023-34362) antes de implantá-la em um ataque altamente orquestrado no fim de semana do Memorial Day deste ano.”
É difícil encontrar muita coisa reconfortante neste relatório. Com um enorme incentivo financeiro para o cibercrime e o fracasso contínuo das organizações em implementar até mesmo defesas de segurança básicas (como MFA e patches) – e com o aumento da complexidade da nuvem, escassez de mão de obra de segurança qualificada e incerteza econômica que assola grandes investimentos em segurança cibernética, tudo complicando a situação – é provável que o cenário geral de segurança cibernética piore antes de melhorar.
Cibersegurança Notícias perguntou a Caitlin Condon, chefe de pesquisa de vulnerabilidade da Rapid7, suas próprias conclusões do relatório. “O fato de que muitos dos vetores de acesso iniciais que nossa equipe de serviços gerenciados viu foi o resultado da falta de higiene básica de segurança”, respondeu ela.
“Esse não é um número que queremos ver. Não queremos ver tantos ataques evitáveis quando sabemos que existem tantos ataques complexos com os quais as organizações também estão lutando”, continuou ela. “Mas a boa notícia é que, em teoria, a implementação de algo como o MFA é uma quantidade conhecida e uma ação definida que uma organização pode realizar se quiser.”
Ataques evitáveis estão acontecendo, então o básico ainda é importante. “As organizações não são impotentes”, acrescentou.