Relatório de nuvem e ameaças: principais táticas e técnicas adversárias

O principal grupo de adversários que visava os usuários da plataforma Netskope Security Cloud era o Wizard Spider (também conhecido como UNC1878, TEMP.MixMaster, Grim Spider), um adversário criminoso com sede na Rússia, a quem se atribui a criação do malware TrickBot. O malware TrickBot foi originalmente criado como um Trojan bancário, mas desde então evoluiu para uma plataforma de malware complexa que contém componentes de roubo de informações, movimento lateral, comando e controle e exfiltração de dados. Como é típico de grupos adversários criminosos, o Wizard Spider tem como alvo uma ampla variedade de organizações vítimas de ransomware. Entre as táticas e técnicas usadas pelo Wizard Spider estão as seis técnicas destacadas neste relatório sobre spearphishing, execução de usuários e comando e controle.

Outros grupos adversários criminosos ativos que dependem fortemente de ransomware incluem o TA505 (também conhecido como Hive0065), responsável pelo ransomware Clop, e FIN7 (a.k.a. GOLD NIAGARA, ITG14, Carbon Spider), que usou o ransomware REvil e criou o ransomware Darkside. Enquanto os principais grupos de adversários criminosos que visam os clientes da Netskope são russos e ucranianos, os principais grupos de adversários geopolíticos são chineses, liderados pelo memupass (também conhecido como Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) e Aquatic Panda, ambos direcionados a uma variedade de diferentes tipos de organizações em todo o mundo.

A geografia e o setor são fatores importantes para determinar quais adversários provavelmente terão como alvo uma organização. Os adversários geopolíticos tendem a visar regiões e setores específicos para obter sua propriedade intelectual, enquanto os adversários com motivação financeira tendem a desenvolver manuais otimizados para visar organizações semelhantes, onde podem reciclar técnicas com o mínimo de personalização. Por setor vertical, há dois que se destacam: serviços financeiros e saúde. Nessas duas verticais, a divisão entre atividades criminosas e de adversários geopolíticos é quase 50/50. Enquanto isso, nas outras verticais do setor, a divisão está mais próxima de 80/20. Isso indica que as organizações dos setores de serviços financeiros e de saúde são mais comumente visadas por adversários geopolíticos.

Essas diferenças também são evidentes quando se comparam as fontes prováveis da atividade do adversário em cada setor. Como muitos dos adversários criminosos que estamos rastreando estão localizados na Rússia, os setores com a maior porcentagem de atividade criminosa também têm as maiores porcentagens de atividade atribuíveis a grupos baseados na Rússia. Enquanto isso, os serviços financeiros e de saúde (os setores visados por mais adversários geopolíticos) têm uma mistura mais uniforme de adversários da Rússia, do Oriente Médio e da China. As outras localidades adversárias não mostradas no gráfico abaixo incluem Coreia do Norte, Paquistão, Índia, Vietnã e Nigéria.

Por região, os adversários mais ativos também diferem significativamente, com duas regiões de destaque: Austrália e América do Norte. Isso indica que os usuários nos EUA e na Austrália têm maior probabilidade de serem alvos de adversários criminosos, enquanto em outras partes do mundo a divisão da atividade adversária geopolítica e criminosa está mais próxima de 50/50.

O detalhamento da atividade regional dos adversários segue um padrão semelhante ao dos dados do setor: as regiões visadas por grupos criminosos tendem a ser visadas por grupos sediados na Rússia, enquanto as regiões com uma porcentagem maior de atividade geopolítica tendem a ver uma porcentagem mais significativa de atividade dos adversários atribuída a grupos geopolíticos na China.

A estrutura Mitre ATT&CK fornece uma linguagem comum para grupos adversários, suas táticas e suas técnicas. Os defensores podem usar essa estrutura para determinar se suas defesas estão adequadamente combinadas com seus adversários. Para cada uma das técnicas discutidas neste relatório, esta seção fornece recomendações específicas.

Acesso inicial: Links de spearphishing
Implemente defesas antiphishing que vão além do e-mail para garantir que os usuários estejam protegidos contra links de spearphishing, independentemente de sua origem. Uma solução SWG que inspeciona o tráfego DNS, o tráfego da nuvem e o tráfego da Web em busca de evidências de phishing pode impedir que os usuários visitem links de spearphishing, independentemente da origem, usando assinaturas e inteligência para proteger contra ameaças de phishing conhecidas e IA para proteger contra ameaças desconhecidas e direcionadas. Netskope os clientes podem configurar seus Netskope Next Gen Secure Web Gateway para se protegerem contra phishing. A tecnologia Remote Browser Isolation (RBI) pode oferecer proteção adicional quando há necessidade de visitar sites em categorias que podem apresentar maior risco, como domínios recém-observados e recém-registrados, webmail pessoal e mídias sociais.

Acesso inicial: Anexos de Spearphishing
Embora as proteções de link de spearphishing também possam ajudar a proteger os usuários que clicam em links em anexos de spearphishing, uma defesa mais robusta fornecerá proteções adicionais contra usuários que baixam anexos de spearphishing. Como eles podem vir de várias fontes, uma estratégia eficaz inspecionará todos os downloads HTTP e HTTPS, incluindo todo o tráfego da Web e da nuvem, em busca de evidências de spearphishing usando inteligência contra ameaças, assinaturas, heurística e IA. Netskope os clientes podem configurar sua política de Netskope Next Gen Secure Web Gateway com uma política de Threat Protection que se aplica a downloads de todos os tipos de arquivos de todas as fontes. A inspeção de downloads de conteúdo de aplicativos de nuvem populares (como o Microsoft OneDrive) é particularmente importante para proteger contra adversários que abusam desses aplicativos para distribuir malware.

Execução: Malicious Link e Execution : Arquivo Malicioso
Como os adversários usam vários canais para distribuir malware, inclusive aplicativos de nuvem populares, como o Microsoft OneDrive, uma estratégia defensiva eficaz deve inspecionar todo o tráfego, inclusive da Web e da nuvem, em busca de conteúdo mal-intencionado. Certifique-se de que os tipos de arquivos de alto risco, como executáveis e arquivos, sejam inspecionados minuciosamente usando uma combinação de análise estática e dinâmica antes de serem baixados. Os clientes da Proteção Avançada contra Ameaças da Netskope podem usar uma Política de Prevenção Zero do Paciente para reter os downloads até que eles tenham sido totalmente inspecionados por vários mecanismos de análise estática e dinâmica, incluindo aqueles que usam IA para detectar ataques direcionados. Netskope Os clientes podem configurar o Netskope NG-SWG com uma política de proteção contra ameaças que se aplica a downloads de todos os tipos de arquivos de todas as fontes. Para reduzir ainda mais a superfície de risco, configure políticas para bloquear downloads de aplicativos que não são usados em sua organização, a fim de reduzir a superfície de risco para apenas os aplicativos e as instâncias (da empresa ou pessoais) necessários. Bloqueie downloads de todos os tipos de arquivos de risco de domínios recém-registrados, domínios recém-observados e outras categorias de risco.

Comando e controle: Protocolo da camada de aplicativos: Protocolos da Web
Uma estratégia eficaz para detectar e impedir o tráfego C2 do adversário por meio de protocolos da Web inclui o uso de um SWG e um IPS para bloquear a comunicação com a infraestrutura C2 conhecida e exibir padrões C2 comuns. Os clientes do Netskope Advanced Threat Protection podem usar os recursos IPS e Advanced UEBA para identificar o tráfego C2 e outros sinais de comportamento pós-comprometimento. O bloqueio de domínios recém-registrados, de domínios recém-observados e o alerta sobre padrões incomuns de tráfego de rede também podem reduzir a superfície de risco e permitir a detecção precoce. O DNS Security e o Cloud Firewall também podem ser usados para proteger contra o tráfego C2 não HTTP/HTTPS.

Exfiltração: Exfiltração pelo canal C2
As mesmas proteções para detectar e impedir o tráfego C2 do adversário também podem ser eficazes contra a exfiltração de dados pelo mesmo canal C2 ou por qualquer outro protocolo da Web. Os clientes da Netskope que usam DLP podem configurar políticas que restringem onde os dados podem ser carregados, limitando efetivamente os canais pelos quais o invasor pode exfiltrar dados. Os clientes da Netskope que usam o Advanced UEBA têm proteções adicionais contra C2 que incluem a identificação de anomalias na transferência de dados, inclusive picos de uploads para locais incomuns e a transferência de conteúdo criptografado ou codificado (uma técnica comum usada por adversários).

Em resumo, uma avaliação de qual tráfego é inspecionado versus contornado é vital para que suas defesas protejam usuários, dados, aplicativos e infraestrutura contra esses adversários. Sabendo que o senhor está inspecionando todo o tráfego possível, a próxima etapa é alinhar as defesas às seis técnicas mencionadas neste relatório. Algumas defesas dependerão de assinaturas e padrões, enquanto as inovações em IA/ML (por exemplo, algoritmos, extratores de recursos e detecção de anomalias) podem ser usadas para proteger contra ameaças desconhecidas ou de dia zero. Uma ou duas vezes por ano, avalie como os adversários estão se movimentando para evitar as defesas atuais e analise quais novas defesas estão disponíveis para proteger seus usuários, dados, aplicativos e infraestrutura.