Crescem ciberataques contra infraestruturas, roubo de credenciais e SIM-swap

Annual Threat Hunting Report 2024 evidencia a relevância de serviços de Detecção e Resposta a Ameaças e avaliações de risco, em tempo real, 24 por 7

Ciberataques contra infraestruturas críticas. Na esteira de temas de destaque em 2024, como as Olimpíadas de Paris, hackers, aparentemente a serviço do governo chinês impetraram uma poderosa onda de ataques contra infraestruturas críticas, propriedade intelectual e dados pessoais.

O grupo “The Com” subiu ao topo entre os cibercriminosos, explorando credenciais roubadas obtidas em mercados clandestinos, investiu no SIM-swap, que transfere o número de telefone da vítima para um chip controlado por eles. Estas e outras práticas criminosas foram as ciberameaças de maior impacto em 2024.

A análise é da CLM, distribuidor latino-americano de valor agregado, com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, com base no Annual Threat Hunting Report 2024, da SentinelOne, líder em cibersegurança com tecnologia de IA. Este ano, o relatório incorporou dados das coligadas da empresa: PinnacleOne, grupo consultivo estratégico da empresa, e WatchTower, que fornece serviços personalizados de detecção de ameaças e análise para identificar invasores emergentes.

Leia também: 2025: ciberataques imperceptíveis e ainda mais danosos

O “Caçador de Ameaças” inclui as que tiveram maior impacto em 2024

Ciberataques contra infraestruturas críticas exploram redes ORB e proxies residenciais

Novo foco dos ciberataques, com hackers, aparentemente, a serviço do governo chinês foram as redes de retransmissão operacional (ORB – Operational Relay Boxes), compostas por de servidores de diferentes provedores de serviços em nuvem e roteadores para escritórios e residências (SOHO), que foram hackeados. Isso permitiu aos hackers migrarem através dessas redes, por meio de proxys residenciais, localizado no país-alvo, evitando suspeitas e bloqueios. Essa técnica permite alterar os nós de saída, burlando, ainda mais, a detecção.

Exemplos de ataques ​​incluem Volt Typhoon/BRONZE SILHOUTTE, Salt Typhoon, Gallium (Operação Tainted Love), HAFNIUM e APT41 com ataques sistemáticos contra setores de infraestrutura crítica nos Estados Unidos, Europa, África e Ásia, visando objetivos militares e de inteligência estratégica dos chineses.

Para confundir a cibersegurança, os hackers chineses passaram a usar técnicas em estilo antigo, do tipo mãos no teclado e métodos mais furtivos contra dispositivos com acesso à internet (Cisco, Fortinet, Citrix, Ivanti) para se infiltrar no tráfego legítimo da rede, sem serem percebidos.

Ciberataques contra infraestruturas críticas envolvem grupos como Volt Typhoon e APT41

“Os hackers alinhados com a China estabeleceram uma nova forma de operar. O pior é que conseguem atravessar uma rede de retransmissão praticamente sem serem detectados, a partir de um nó residencial, de reputação neutra, dentro do país-alvo, conduzindo espionagens, testando a reação do país atacado, bem como habilitar objetivos militares para pré-posicionamento em tempos de guerra. Isso evidencia a relevância de serviços de Detecção e Resposta a Ameaças e avaliações de risco, em tempo real, 24 por 7, tanto para as organizações como para assegurar a soberania digital do país”, alerta o CEO da CLM, Francisco Camargo.

Ciberataques contra infraestruturas críticas revelam falhas em dispositivos amplamente usados

The Com (UNC3944) | Grupo de hackers chega ao topo do cibercrime

O The Com explora credenciais roubadas obtidas em mercados clandestinos, realiza ataques de troca de SIM e usa tokens de autenticação em nuvem codificados, vazados de repositórios como o GitHub, para se infiltrar em sistemas em nuvem com a ajuda de ferramentas automáticas. Também usa ferramentas legítimas nativas da nuvem para manter a persistência, tornando suas atividades mais difíceis de detectar.

Recentemente, eles adicionaram o ransomware Qilin ao seu arsenal e firmaram uma parceria com o grupo de ransomware RansomHub. Esse grupo de criminosos cibernéticos serve como um termo genérico para grupos associados como 0ktapus, StarFraud e o antigo Lapsus$.

“Esse grupo estava por trás da campanha de ataque com motivação financeira à Snowflake, afetando quase 200 empresas (clientes dos serviços da Snowflake). Os invasores utilizaram conjuntos de credenciais comprometidos (coletados de logs do Infostealer), combinados com engenharia social agressiva, para realizar o ataque”, explica o executivo.

Evolução do cenário de ransomware

O Akira emergiu como o grupo de ransomware mais produtivo de 2024, seguido pelo Play e pelo BlackSuit. “A SentinelOne também acompanhou a ascensão de novas famílias como Orca e RansomHub, bem como o declínio de grupos que já foram dominantes”, comenta.

As ameaças mais frequentemente relatadas foram famílias emergentes de ransomware e novas atividades de infostealers nas plataformas Windows, macOS e Linux.

A WatchTower detectou o uso indevido de software legítimo por agentes de ameaças mais de uma dezena de vezes nos últimos 12 meses. Além de diversas vulnerabilidades e explorações:

• CVE-2024-21591 Akira abusa da Juniper VPN sem MFA para intrusão
• CVE-2024-27199 JetBrains TeamCity Security
• CVE-2024-29847 Ivanti EPM Deserialization RCE CVE-2024-29847
• CVE-2024-3094 Utilitários XZ com backdoor
• CVE-2024-38112 Exploits de Dia Zero direcionados ao Internet Explorer
• CVE-2024-4978 Justice AV Solutions Viewer Software Supply Chain com backdoor
• CVE-2024-6368 OpenSSH regreSSHion Vulnerability WatchTower

Annual Threat Hunting Report 2024

Este ano, a SentinelOne incorporou dados de suas coligadas PinnacleOne, grupo consultivo estratégico da empresa, e da WatchTower, que fornece serviços personalizados de detecção de ameaças e análise para identificar invasores emergentes. Além dos dados de sua equipe de resposta a incidentes, que fornece estudos de caso detalhados que ilustram violações reais – desde ataques de dia zero em dispositivos VPN até roubo de dados por meio de plug-ins do JIRA – e destaca armadilhas comuns, incluindo detecções perdidas e segmentação de rede vulnerável.

A PinnacleOne estuda os principais riscos geopolíticos, explicando como conflitos de governos, sabotagem de infraestrutura crítica e campanhas de desinformação moldaram o ambiente cibernético de 2024.

Em 2024, a WatchTower publicou 188 relatórios Flash, abrangendo mais de mil consultas sobre novas famílias de ransomware, infostealers e vulnerabilidades recorrentes, mantendo a proteção à frente do cenário de ameaças em evolução.

Sobre a CLM

CLM é distribuidor latino-americano de valor agregado com sede em São Paulo, Brasil, e coligadas no Chile, Colômbia, EUA e Peru. A empresa se concentra em segurança da informação, proteção de dados, infraestrutura para data centers e nuvem, tendo uma extensa rede de VARs (Value Added Resellers) na América Latina e uma vasta experiência no mercado. A CLM recebeu diversos prêmios: 𝐓𝐨𝐩 𝐨𝐟 𝐌𝐢𝐧𝐝 𝐍𝐚𝐜𝐢𝐨𝐧𝐚𝐥 na categoria 𝐕𝐚𝐥𝐨𝐫 e destaque em 𝐀𝐮𝐭𝐨𝐦𝐚𝐜̧𝐚̃𝐨 𝐝𝐞 𝐏𝐫𝐨𝐜𝐞𝐬𝐬𝐨𝐬, 𝐋𝐨𝐠𝐢́𝐬𝐭𝐢𝐜𝐚 𝐞 𝐂𝐚𝐩𝐢𝐥𝐚𝐫𝐢𝐝𝐚𝐝𝐞 𝐍𝐚𝐜𝐢𝐨𝐧𝐚𝐥, do Prêmio Excelência em Distribuição 2024, da Infor Channel pelo compromisso da CLM com a excelência e busca incansável das melhores soluções e serviços aos canais; o de melhor distribuidor da América Latina pela Nutanix, qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner pelo crescimento das vendas; e Destaque no atendimento aos Canais, pelo Anuário de Informática da Revista Informática Hoje. A empresa está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e clientes. www.CLM.tech.

Sobre a SentinelOne
A SentinelOne é líder em cibersegurança com tecnologia de IA. Construída no primeiro Data Lake unificado, a SentinelOne capacita o mundo a operar com segurança, criando sistemas inteligentes e orientados por dados que pensam por si mesmos, antecipam a complexidade e os riscos e evoluem por conta própria. Organizações líderes — incluindo empresas da Fortune 10, Fortune 500 e Global 2000, bem como governos proeminentes — confiam na SentinelOne para Proteger o Tomorrow™. Saiba mais em sentinelone.com.