Grupos APT com técnicas avançadas, horizontes alargados e novos alvos no 1.º trimestre de 2023

By | 13/05/2023
O mais recente relatório de tendências de Ameaças Persistentes Avançadas (APT) da Kaspersky revela uma atividade movimentada no primeiro trimestre de 2023, com uma mistura de criminosos novos e já estabelecidos envolvidos numa série de campanhas. O relatório mostra que, durante este período, os agentes de APT têm estado a atualizar os seus conjuntos de ferramentas e a expandir os seus vetores de ataque, tanto em termos de localização geográfica como de indústrias alvo.

Durante os primeiros três meses deste ano, os investigadores da Kaspersky descobriram novas ferramentas, técnicas e campanhas lançadas por grupos APT em ciberataques por todo o mundo. O relatório de tendências APT advém da análise de inteligência de ameaças da Kaspersky, dos seus principais desenvolvimentos e de ciberincidentes que os investigadores defendem que devem ser do conhecimento de todos:
 
Novas técnicas e ferramentas atualizadas
 
Os atacantes APT têm procurado continuamente novas formas de realizar os seus ataques para evitar a deteção e atingir os seus objetivos. No primeiro trimestre de 2023, os investigadores da Kaspersky verificaram que os agentes de ameaças estabelecidos, como osTurla, MuddyWater, Winnti, Lazarus e ScarCruft – que estão na arena APT há muitos anos -, não estão parados e continuam a desenvolver os seus conjuntos de ferramentas. Por exemplo, o Turla foi identificado a utilizar o TunnusSched, uma ferramenta relativamente invulgar para este grupo, mas utilizada pelo Tomiris. Isto demonstra como os agentes APT estabelecidos se estão a adaptar e a desenvolver as suas táticas para se manterem em vantagem.
 
Também houve campanhas de agentes de ameaças recentemente descobertos, como o Trila, que visavam entidades governamentais libanesas.
 
Agentes APT interessam-se por outras indústrias
 
Os agentes APT continuam a expandir-se para além das suas vítimas tradicionais, como instituições estatais e alvos de grande visibilidade, para incluir os sectores da aviação, energia, indústria transformadora, imobiliário, finanças, telecomunicações, investigação científica, TI e jogos de azar. Essas empresas possuem quantidades substanciais de dados que servem requisitos estratégicos relacionados com prioridades nacionais ou criam acessos e vetores adicionais para facilitar futuras campanhas.
 
Expansão geográfica
 
Os especialistas da Kaspersky também testemunharam agentes avançados a realizar ataques com foco na Europa, EUA, Médio Oriente e em várias partes da Ásia. Enquanto a maioria dos criminosos visava anteriormente vítimas em países específicos, são cada vez mais os APT que estão a dirigir-se a vítimas a nível global. Por exemplo, o MuddyWater, um agente que anteriormente mostrava preferência por entidades no Médio Oriente e Norte de África, expandiu a sua atividade maliciosa a organizações no Azerbaijão, Arménia, Malásia e Canadá, para além dos seus alvos anteriores na Arábia Saudita, Turquia, Emirados Árabes Unidos, Egito, Jordânia, Barém e Kuwait.
 
“Embora tenhamos vindo a seguir os mesmos agentes APT durante décadas, é evidente que estão a evoluir continuamente com novas técnicas e conjuntos de ferramentas. Além disso, o aparecimento de novos agentes de ameaças significa que o panorama das APT está a mudar rapidamente, especialmente nestes tempos turbulentos. As organizações devem manter-se vigilantes e garantir que estão equipadas com informações sobre ameaças e com as ferramentas adequadas para se defenderem contra ameaças existentes e emergentes. Ao partilhar os nossos conhecimentos e descobertas, pretendemos capacitar os profissionais de cibersegurança para estarem preparados contra ameaças de alto perfil”, afirmou David Emm, investigador de segurança principal da Equipa de Análise e Pesquisa Global (GReAT) da Kaspersky.
 
Leia o relatório completo de tendências APT no primeiro trimestre de 2023, visite a Securelist.
 
Para evitar ser vítima de um ataque direcionado por parte de um agente de ameaças conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:
 
· Atualizar o sistema operativo Microsoft Windows e outro software de terceiros o mais rapidamente possível e fazê-lo regularmente.
 
· Capacitar a sua equipa de cibersegurança para enfrentar as mais recentes ameaças direcionadas com a formação online da Kaspersky, desenvolvida por especialistas GReAT.
 
· Para deteção, investigação e correção atempada de incidentes ao nível do endpoint, implemente soluções EDR como o Kaspersky Endpoint Detection and Response.
 
· Além de adotar a proteção essencial de endpoint, implemente uma solução de segurança de nível empresarial que detete ameaças avançadas ao nível da rede numa fase inicial, como a Kaspersky Anti Targeted Attack Platform. Uma vez que muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, introduza formações de sensibilização para a segurança e ensine competências práticas à sua equipa, como, por exemplo, através da Kaspersky Automated Security Awareness Platform
(ITO)