Em 2014, expectativa da CrowdStrike, autora do estudo, é de aumento da segmentação dos crimes cibernéticos
Cinquenta grupos muito ativos dominaram o cenário do cibercrime em 2013, segundo estudo recém divulgado pela CrowdStrike. Usando uma abordagem que coloca em primeiro plano os “atores de ameaças”, em vez dos malware, a empresa divide esse grupos de acordo com a motivação (nacionais, políticas ou puramente comerciais) para cometer crimes digitais.
À primeira vista, o sistema de categorização, baseado em táticas, técnicas e procedimentos, mais parece uma lista de nomes incompreensíveis, como os dos principais cibergrupos rastreados: Numbered Panda, Magic Kitten, Energetic Bear e Deadeye Jackal.
Mas o sistema usado para a categorização – que a empresa chama de “sistema cryptonym” – é muito mais simples. Grupos estatais da China são sempre “pandas”, grupos vinculados à política e não às nações são “chacais” e os cibercriminosos profissionais são sempre “aranhas” ["spiders"].
Os grupos mais ativos incluem o Syrian Electronic Army (SEA) e uma série de grupos chineses mas isto já era conhecido. Mais interessante, a CrowdStrike pensa ter descoberto alguns que estão menos bem documentados, incluindo os “Emissary Panda” e “Energetic Bear” que, como os seus nomes sugerem, são chinês e russo, respectivamente.
O “Emissary Panda” parece ser um grupo recém-formado dedicado a atacar o setor da alta tecnologia, empresas de defesa e embaixadas em um conjunto de alvos que inclui países e é um complemento para muitos outros grupos chineses fazerem o mesmo.
Mais significativo, talvez, é o “Energetic Bear”, que a CrowdStrike acredita estar atento às empresas do setor da energia. Até agora, a Rússia tem sido visto como albergue de malware esmagadoramente comercial. O “Energetic Bear” sugere que isso pode estar mudando.
Ativo desde pelo menos 2012 em 23 países diferentes, o “Energetic Bear” parece importante o suficiente para ter criado 25 versões de um dos seus preferidos Remote Access Trojans (RATs), o Havex. Além das empresas de energia, os alvos incluíram governos europeus e empresas do setor da defesa, empresas de engenharia e acadêmicos europeus, norte-americanos e asiáticos, segundo a CrowdStrike. Se isso significa que o grupo está a operando em nome do governo do país é impossível de dizer.
Método
A CrowdStrike começou o seu estudo observando a tática Strategic web compromise (SWC, ou "buraco de água") usada por atores mal-intencionados para comprometer e infectar alvos de interesse quando eles visitam sites relacionados com a indústria. Por exemplo, se os agentes maliciosos estão interessados em uma empresa do setor aeroespacial, eles podem tentar comprometer o website de um dos vendedores da empresa ou o site de uma conferência relacionada com a indústria aeroespacial. Esse site pode se tornar um vetor de explorar e infectar os funcionários que a visitam, a fim de ganhar uma posição na empresa alvo.
Depois, a partir de cada ataque registrado, a equipe da empresa passou a analisar os rastros deixados pelos cibercriminosos nos códigos das páginas atacadas.
Conclusões
De acordo com a CrowdStrike, em retrospectiva, 2013 foi um ano no qual os adversários e defensores da rede estiveram muito ocupdos com um grande número de ataques. Pelo menos um ator, o SILENT CHOLIMMA , esteve envolvido em um ataque destrutivo, e os grupos criminosos e ativistas foram capazes de impactar bilhões de dólares.
Quando olhamos para 2014, certamente promete ser mais um ano ainda mais emocionante para a segurança da informação. Os atores de ameaças estão se proliferando , e a capacidade de realização de ataques será facilitada por meio de pacotes de malware regionalizados.
Segurança orientada a inteligência é o mantra para 2014. A CrowdStrike acredita que Isto significa conhecer o adversário e estar preparado para ele através de uma estratégia abrangente para a defesa, dissuasão e de detecção de ataques.
Fonte: IDGNOW
Nenhum comentário:
Postar um comentário