89% das organizações ao redor do mundo sofreram uma ou mais violações de e-mail bem-sucedidas entre 2021 e 2022, gerando prejuízos significativos

Boa parte das equipes globais de segurança acredita que os sistemas de detecção e mitigação de riscos de seus provedores de e-mail são ineficazes contra ameaças cibernéticas mais graves – como o ransomware, por exemplo.

Os dados são de uma pesquisa conduzida pela Osterman Research e realizada com clientes corporativos que usam o Microsoft 365 como provedor de e-mail. A pesquisa examinou os níveis de preocupação com ameaças comuns de e-mail, como phishing, comprometimento de e-mails corporativos (business e-mail compromise, ou BEC), ameaças de ransomware, dentre outras. Mediu, também, o grau de preparação para a lidar com ataques e incidentes cibernéticos.

“Os gerentes de equipes de segurança estão mais preocupados com o fato das soluções atuais de segurança de e-mail não impedirem ameaças graves (particularmente o ransomware), o que retarda o tempo de resposta e remediação da equipe de segurança”, informa o relatório divulgado em maio.

Menos da metade dos pesquisados ​​disseram que suas organizações conseguem bloquear a transferência de ameaças por e-mail. E, da mesma forma, menos da metade das organizações classificam suas soluções de segurança de e-mail atualmente implantadas como eficazes.

As mais vulneráveis, de acordo com os entrevistados, são as proteções contra ameaças de falsificação de identidade (acesso não-autorizado), seguidas pelas medidas para detectar e bloquear e-mails de phishing e spam enviados em massa.

Assim, tampouco é surpresa que quase todas as organizações pesquisadas tenham sofrido um ou mais tipos de violações de e-mail.

Maioria esmagadora das organizações sofreu algum tipo de incidente cibernético via e-mail

Cerca de 90% das organizações registraram um ou mais tipos de violação de e-mail bem-sucedidos entre 2021 e 2022. O registro anual de violações via e-mail praticamente dobrou desde 2019, de acordo com o relatório, a maioria devido a ataques de phishing bem-sucedidos que comprometeram as credenciais do Microsoft 365.

De modo geral, de acordo com a pesquisa, ataques bem-sucedidos de ransomware cresceram 71% nos últimos três anos, o comprometimento de credenciais do Microsoft 365 aumentou em 49% e os ataques de phishing bem-sucedidos aumentaram em 44%.

Abordagens defensivas ineficazes

Investigando onde as defesas de e-mail falham, as empresas descobriram que, surpreendentemente, o uso de plug-ins para que os usuários denunciem mensagens suspeitas continua a aumentar. Metade das organizações agora está usando um plug-in automatizado para reportar e-mails suspeitos, que então são enviados para análise por profissionais de segurança treinados. Em 2019, esse recurso era utilizado por apenas 37% das organizações.

Analistas de um centro de operações de segurança, administradores de e-mail e um fornecedor de segurança ou provedor de serviços de segurança são os grupos que lidam com mais frequência com esses relatórios, embora 78% das organizações notifiquem dois ou mais desses grupos.

Além disso, o treinamento de usuários sobre ameaças de e-mail agora é oferecido na maioria das empresas, segundo a pesquisa: mais de 99% das organizações oferecem algum tipo de treinamento anualmente, e uma em cada sete organizações oferece treinamentos mensalmente ou com mais frequência.

“O treinamento mais frequente reduz uma série de incidentes de segurança. Entre as empresas que oferecem treinamento a cada 90 dias, pelo menos, a probabilidade de os funcionários serem vítima de uma ameaça de phishing, BEC ou ransomware é menor do que nas organizações que treinam apenas uma ou duas vezes por ano”, informa o relatório.

Além disso, a pesquisa descobriu que o treinamento mais frequente resulta em mais mensagens relatadas como suspeitas e uma parcela maior dessas mensagens suspeitas se revelando maliciosas após a análise de um profissional de segurança.

Então, onde está o problema?

As lacunas no ecossistema de segurança de e-mails

Os pesquisadores fizeram uma descoberta preocupante, ao investigar mais a fundo a cadeia de segurança de e-mails: apenas cerca de um quinto (22%) das organizações analisam todas as mensagens relatadas em busca de mensagens maliciosas.

“Não fica claro como os colaboradores devem agir quando não existe clareza se as mensagens são maliciosas, o que pode ocorrer por falta de um veredito dos grupos de segurança”, dizem as empresas.

Em geral, a pesquisa também mostrou que as organizações estão usando pelo menos uma ferramenta de segurança adicional para complementar as proteções de e-mail básicas oferecidas pelo Microsoft 365. No entanto, a eficácia de implementação varia.

“As ferramentas adicionais vão desde o Microsoft 365 Defender, um gateway de e-mail terceirizado ou uma extensão anti-phishing fornecida por terceiros”, explicou o relatório. “Existe uma ampla gama de padrões de implantação com o uso dessas ferramentas”.

As empresas concluíram que esses tipos de lacunas e defesas ineficazes resultam em custos significativos para as organizações.

Afinal, “os custos incluem remediação pós-incidente, remoção manual de mensagens maliciosas das caixas de entrada dos colaboradores, além do tempo desperdiçado em mitigar mensagens relatadas como suspeitas mas que, após análise, resultam ser benignas”, informa o relatório.

As organizações também enfrentam uma série de outros custos “invisíveis”, incluindo exaustão de alertas, rotatividade de analistas de segurança cibernética e multas regulatórias, caso sejam vítimas de incidentes cibernéticos.

Quer proteger sua empresa e seus colaboradores de forma eficaz? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Mais de 700 pacotes maliciosos foram publicados em apenas cinco dias em campanha escalável e complexa, visando desenvolvedores

Em março deste ano, pesquisadores da empresa de softwares JFrog divulgaram uma campanha que indicava que um criminoso, ainda não-identificado, havia publicado pelo menos 200 pacotes maliciosos no Node Package Manager (npm) – a plataforma de gerenciamento de softwares subsidiária do GitHub.

A equipe disse que esses repositórios foram detectados pela primeira vez em 21 de março e cresceram rapidamente em volume, com cada pacote npm deliberadamente nomeado de modo a imitar um software legítimo.

Após continuidade da investigação, a contagem de pacotes maliciosos publicado ultrapassou os 700.

O que é e para que serve o npm

De forma bastante sucinta, npm é o gerenciador de pacotes para a plataforma Node.js, um software open-source e multiplataforma para desenvolvimento e execução de códigos JavaScript.

O npm serve para organizar módulos para que o Node possa encontrá-los de forma facilitada, bem como gerenciar conflitos de dependência de forma inteligente nos códigos. O npm é altamente customizável, a fim de apoiar uma ampla variedade de possibilidades de uso. Mais comumente, é usado para publicar, descobrir, instalar e desenvolver programas em Java.

Por isso, quando utilizado para fins maliciosos, pode se tornar uma arma bastante perigosa.

A campanha de npm é complexa e escalável

No dia 28 de marçod, pesquisadores da Checkmarx, empresa de segurança de software, disseram que a equipe de Supply Chain Security (SCS) da empresa também está rastreando essas atividades e registrou mais de 600 pacotes maliciosos publicados em cinco dias, elevando o total de pacotes para mais de 700.

Para tentar manter a discrição dos ataques, o criminoso tem usado contas de usuário únicas para subir os pacotes.

“Isso é incomum para a maioria dos ataques automatizados; geralmente, os invasores criam um único usuário e expandem seus ataques a partir dele”, dizem os pesquisadores. “A partir desse comportamento, podemos concluir que o invasor construiu um processo de automação de ponta a ponta, incluindo o registro de usuários e a aprovação das autenticações OTP”.

De acordo com a Checkmarx, a “fábrica” ​​do invasor está desenvolvendo pacotes npm maliciosos que contam com uma confusão proposital na dependência de tipo para enganar os desenvolvedores e roubar seus dados com sucesso.

Como a fábrica de npm funciona

Conforme observado anteriormente pela JFrog, o método de ataque depende de typosquatting – isto é, sequestro de URLs – e de nomenclaturas que simulam pacotes confiáveis, geralmente removendo partes do nome de um pacote para parecer mais legítimo.

O servidor de comando e controle (C2) usado para gerenciar a infraestrutura geral da onda de ataque, “rt11[.]ml”, também é o endereço do destinatário para as informações roubadas. O C2 parece estar executando o Interactsh, uma ferramenta de código aberto escrita na linguagem de programação Go para extração de dados.

A Checkmarx configurou seu próprio domínio e servidor a fim de entender melhor o método do invasor. Escreveram, então, um script que abre contas npm mediante solicitação, usando o software de teste SeleniumLibrary. O script pode gerar nomes de usuário e endereços de e-mail aleatoriamente no domínio de teste e inicia automaticamente o processo de inscrição.

É aí que entra o Interactsh. Para ignorar a verificação de senha de uso único (OTP) usada pelo npm, o Interactsh extrai automaticamente o OTP e o envia de volta ao formulário de inscrição, permitindo que a solicitação de criação de conta seja bem-sucedida, se esquivando das medidas de segurança.

“Vale ressaltar que, uma vez criada a conta de usuário, é possível configurá-la de forma a não exigir OTP para publicar um pacote”, disseram os pesquisadores. “Isso pode ser feito usando um token de autenticação e configurando-o para funcionar sem 2FA. Presumimos que é assim que os invasores que publicaram pacotes maliciosos foram capazes de automatizar seu processo sem configurar o mecanismo descrito.”

A Checkmarx, assim como a JFrog, relataram os pacotes maliciosos à equipe de segurança do npm. Além disso, a empresa que fornece o servidor C2 também foi notificada.

“Ao distribuir os pacotes por meio de vários nomes de usuário, o invasor torna mais difícil para os defensores derrubá-los de forma assertiva e eficaz”, observaram os pesquisadores. “Com isso, é claro, aumentam as chances de infecção.”

Quer manter sua empresa protegida de diferentes tipos de ataques cibernéticos? Confira as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Dispositivos criados para garantir o funcionamento ininterrupto de estruturas críticas de TI e sistemas de informação, em geral, são os novos alvos estratégicos de cibercriminosos

Novos ciberataques têm como alvo dispositivos de fonte de energia ininterrupta (uninterrupted power supply ou UPS), mais conhecidos na forma de no-breaks, por exemplo, que fornecem uma espécie de backup de bateria durante picos de uso e interrupções de energia.

Os dispositivos UPS são geralmente usados ​​em ambientes de infraestrutura crítica, protegendo instalações, equipamentos de TI e importantes sistemas de organizações essenciais. Logo, os riscos de um ataque dessa magnitude podem ser catastróficos, dependendo da organização-alvo.

Essas informações foram divulgadas pela equipe de pesquisa da Agência de Segurança Cibernética e Infraestrutura (CISA) e o Departamento de Energia dos EUA, que alertaram que agentes maliciosos estão mirando em versões conectadas à Internet de UPSs sobretudo por meio de nomes de usuários e senhas-padrão- embora vulnerabilidades, como bugs de dispositivo – também façam parte das muitas portas de entrada para invasores.

O risco de UPSs vulneráveis

“Nos últimos anos, os fornecedores de UPS adicionaram um recurso de Internet das Coisas [IoT] aos dispositivos, de modo que, agora, eles são rotineiramente conectados a redes cibernéticas para monitoramento de energia, manutenção de rotina e/ou conveniência”, informa o relatório de alerta da CISA, divulgado em março.

“As cargas de UPSs podem variar das mais baixas (por exemplo, alguns servidores) a grandes (por exemplo, um prédio) ou massivas (por exemplo, um data center)”, diz a CISA.

Se os invasores conseguirem controlar remotamente os dispositivos, eles poderão ser usados ​​para uma série de fins potencialmente catastróficos.

Por exemplo, cibercriminosos podem usá-los como ponto de partida para violar a rede interna de uma empresa e roubar dados. Ou, em um cenário mais controverso, eles podem ser usados ​​para cortar a energia de aparelhos, equipamentos ou serviços de infraestrutura crítica, o que pode causar danos físicos em um ambiente industrial ou interromper os serviços de negócios, levando a perdas financeiras significativas.

Além disso, os ciberataques também podem executar código remoto para alterar a operação dos próprios UPSs ou danificá-los fisicamente (ou danificar os dispositivos conectados a eles).

“É fácil esquecer que todos os dispositivos conectados à Internet correm maior risco de ataque”, observou Tim Erlin, vice-presidente da Tripwire, à imprensa. “Só porque um fornecedor oferece a possibilidade de conectar um dispositivo à Internet, não significa que ele esteja configurado para ser seguro. Cabe a cada organização garantir que os sistemas que utilizam sejam configurados com segurança.”

Corrigir a vulnerabilidade de UPSs não é difícil, porém…

Os responsáveis ​​pela manutenção dos UPSs, que, de acordo com o que a CISA observou, pode incluir equipe de TI, equipe de operações, operadores de manutenção industrial ou terceirizados de serviços de monitoramento, têm uma solução fácil para o problema: enumerar todos os UPSs com IoT conectados e, simplesmente, deixá-los offline.

Se a manutenção de uma conexão IoT ativa for um requisito, os administradores devem alterar as credenciais padrão para uma combinação forte de nome de usuário e senha – e, de preferência, implementar também a autenticação multifator (MFA), acrescentou a CISA.

Outros recursos de mitigação, de acordo com o relatório, são: garantir que os UPSs estejam por trás de uma rede privada virtual (VPN) e adotar recursos de bloqueio de login após determinado período, para que os dispositivos não estejam continuamente online e vulneráveis.

Quer manter os dispositivos da sua empresa seguros? Conheça as soluções da Compugraf e saiba como podemos ajudar!