Pandemia do Hunter killer, malware recém-descoberto pela Picus Security, mostra que novos malwares são projetados não apenas para escapar das ferramentas de detecção, mas também para derrubá-las
A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, alerta para a pandemia mundial do malware Hunter-killer, descoberto pela Picus Security, empresa de validação de segurança.
Esta praga, que desativa os controles de segurança, teve um crescimento 333%, em 2023, segundo o Picus Red Report 2024, realizado pela Picus.
Em seu quarto relatório anual, o Picus Labs, unidade de pesquisa da Picus Security, analisou 667.401 arquivos, dos quais 612.080 (92%) foram categorizados como maliciosos, a partir de amostras dos ataques perpetrados entre janeiro e dezembro de 2023. Também identificou as técnicas mais comuns utilizadas pelos invasores e descobriu uma pandemia do “Hunter-killer”.
Para Tom Camargo, Vice-Presidente da CLM, que distribui as soluções da Picus na América Latina, a descoberta do Picus Labs demonstra uma mudança drástica na capacidade de os ciberatacantes identificarem e neutralizarem as avançadas defesas empresariais, como firewalls, antivírus e EDRs de última geração. “O nome do malware Hunter Killer (caçador assassino) é uma alusão ao filme de 2018, que no Brasil se chama Fúria em Alto Mar, e se passa em um submarino dos Estados Unidos que vigia ações da Rússia. O fato é que esta praga tem capacidade para atingir e desativar os sistemas de defesa”, explica.
O Hunter Killer é altamente ardiloso e agressivo; age silenciosamente e lança ataques destrutivos para derrotar as defesas corporativas. A Picus explica que novos malwares são projetados não apenas para escapar das ferramentas de detecção, mas também para derrubá-las. Para combater o Hunter killer, a CLM e a Picus incentivam a adoção inteligência artificial, com aprendizado de máquina, soluções e proteção das credenciais dos usuários e validação constantes das defesas contra as táticas e técnicas mais recentes dos cibercriminosos.
O estudo descobriu também que 70% dos malwares empregam técnicas furtivas para burlar a detecção e para se manterem nas redes.
“Acreditamos que os cibercriminosos estão mudando de atitude em resposta à melhoria significativa da cibersegurança das empresas e às ferramentas amplamente utilizadas, que oferecem recursos muito mais avançados para detectar ameaças. Há um ano, era relativamente raro os atacantes desativarem os controles de segurança. Agora, esse comportamento é observado em um quarto das amostras de malware e é usado por praticamente todos os grupos de ransomware e grupos APT”, diz o Picus Red Report 2024.
Houve um aumento de 150% no uso de arquivos ou informações ofuscadas, o que mostra uma tendência de atrapalhar a eficácia da segurança e ofuscar atividades maliciosas para complicar a detecção dos ataques, a análise forense e os esforços de resposta a incidentes.
O levantamento revela outra tendência preocupante: 21% das amostras de malware analisadas têm a capacidade de criptografar dados. Além disso, identificou um aumento de 176% no uso do protocolo T1071 Application Layer, que é implantado para exfiltração de dados, como parte de esquemas sofisticados de dupla extorsão. Casos de destaque de ransomwares em 2023 testemunham o impacto crítico dessas técnicas, que desempenharam papéis essenciais em ataques como o BlackCat/AlphV contra NCR e Henry Schein, Cl0p contra o Departamento de Energia dos EUA, Royal que invadiu a cidade de Dallas, ataques de LockBit na Boeing, CDW e MCNA e o Scattered Spider que se infiltrou no MGM Resorts e no Caesars Entertainment.
Pode ser muitíssimo difícil detectar se um ataque desativou ou reconfigurou ferramentas de segurança, porque elas ainda parecem funcionar conforme o esperado. Por isso, a CLM e a Picus recomendam:
A prevenção de ataques requer o uso de múltiplos controles de segurança com uma abordagem de defesa em profundidade. A validação de segurança deve ser o ponto de partida para que as organizações compreendam melhor a sua preparação e identifiquem as lacunas. A menos que uma organização simule proativamente ataques para avaliar a resposta de seus sistemas de e-mail, firewalls, EPP, EDR, XDR, SIEM e outros sistemas defensivos que possam ser enfraquecidos ou eliminados pelo malware Hunter-killer, ninguém saberá que estão inativos até que seja tarde demais.
Sobre a CLM
A CLM é distribuidor latino-americano de valor agregado com sede em São Paulo, Brasil, e coligadas no Chile, Colômbia, EUA e Peru. A empresa se concentra em segurança da informação, proteção de dados, infraestrutura para data centers e nuvem, tendo uma extensa rede de VARs (Value Added Resellers) na América Latina e uma vasta experiência no mercado. A CLM recebeu recentemente diversos prêmios: o de melhor distribuidor da América Latina pela Nutanix, qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner pelo crescimento das vendas; o Prêmio Excelência em Distribuição 2022 da Infor Channel pelo compromisso da CLM com a excelência e busca incansável das melhores soluções e serviços aos canais e Destaque no atendimento aos Canais, pelo Anuário de Informática da Revista Informática Hoje. A empresa está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e clientes.
Sobre a Picus Security
A Picus Security ajuda a validar, de forma consistente e precisa, a postura de segurança corporativa. Sua plataforma de validação simula ameaças do mundo real para avaliar a eficácia dos controles de segurança, identificar caminhos de ataque de alto risco a ativos críticos e otimizar os recursos de prevenção e detecção de ameaças. Como pioneira em simulação de violações e ataques, a empresa se especializou em fornecer insights acionáveis para seus clientes serem proativos e contra ameaças. A Picus foi nomeada Cool Vendor pelo Gartner e reconhecida pela Frost & Sullivan como líder no mercado de simulação de violação e ataque (BAS).
