Enquanto 2020 foi o ano dos ataques à cadeia de suprimentos (e também o início da pandemia de Covid-19), 2021 se destacou pelas vulnerabilidades que se tornaram surpreendentemente graves.
Logo no início de 2021, os servidores do Microsoft Exchange em todo o mundo foram atacados por pelo menos dez grupos APT. A vulnerabilidade ProxyLogon, falha que desencadeou esses incidentes, acabou sendo o segundo vetor de ataque externo mais comum em 2021 - de acordo com os dados da telemetria da ESET. Como você pode conferir no Relatório de Ameaças da ESET do terceiro trimestre de 2021 (ESET T3 2021), os servidores do Microsoft Exchange foram novamente atacados em agosto do mesmo ano - o "irmão mais novo" do ProxyLogon, chamado ProxyShell, foi explorado em todo o mundo por vários grupos de ameaças.
Quando uma falha crítica apareceu na biblioteca Log4j em meados de dezembro, as equipes de TI em todo o mundo trabalharam para localizar a falha em seus sistemas e corrigi-la. Essa vulnerabilidade, que obteve um 10 na escala CVSS, colocou inúmeros servidores em risco de um possível controle total, o que fez com que vários cibercriminosos começassem a explorar a falha. Embora a exploração da vulnerabilidade tenha começado durante as últimas três semanas do ano, os ataques a biblioteca Log4j rapidamente se tornaram o quinto vetor de intrusão externa mais comum em nossas estatísticas de 2021, refletindo a rapidez com que atacantes estão se aproveitando de vulnerabilidades críticas emergentes.
O final de 2021 também foi turbulento em relação aos ataques ao RDP, que aumentaram ao longo dos dois últimos anos. Os números durante as últimas semanas do terceiro trimestre de 2021 quebraram todos os recordes anteriores, atingindo um impressionante crescimento anual de 897% no total de tentativas de ataques bloqueados. E isso ocorreu apesar do fato de 2021 não ter sido mais marcado pelo caos causado pelas quarentenas e transições repentinas para o trabalho remoto. Provavelmente a única boa notícia em relação aos ataques ao RDP é que, assim como destacamos no capítulo “Exploits” do nosso relatório, o número de alvos vem diminuindo gradualmente, embora aparentemente não haja possibilidade de queda nesse crescimento durante os próximos meses.
O Ransomware, que classificado no relatório do último trimestre de 2020 como "mais agressivo do que nunca", superou as piores expectativas em 2021, com ataques direcionados a infraestruturas críticas, pedidos de resgate em valores cada vez maiores e transações de bitcoin ligadas a possíveis pagamentos de resgate de dados no primeiro semestre de 2021 que passaram de US$ 5 bilhões.
No entanto, a pressão também tem aumentado do outro lado, representada por uma intensa atividade de forças policiais em diversos países contra o ransomware e outras atividades criminosas no mundo digital. Embora a intensa repressão tenha forçado várias quadrilhas a fugir da cena, mesmo após a liberação de ferramentas de descriptografia, aparentemente alguns atacantes estão ficando mais ousados: durante os últimos quatro meses de 2021 vimos o que até agora é a maior pedido de resgate de informações de todos os tempos: US$ 240 milhões, mais do triplo do recorde que mencionamos na edição anterior do nosso relatório de ameaças.
E para destacar outro recorde: quando o preço do bitcoin atingiu seu ponto mais alto até agora, em novembro de 2021, os especialistas da ESET observaram uma grande quantidade de ameaças direcionadas a criptomoedas, um cenário que foi alimentado pela recente popularidade dos NFTs (tokens não fungíveis).
No mundo dos dispositivos móveis, notamos um aumento alarmante nas detecções de malware bancário para Android, que aumentou 428% em 2021 em comparação com 2020, atingindo altos níveis de detecção de adware, um incômodo comum na plataforma. Não é necessário explicar que é impossível comparar o potencial de prejuízos causados por essas duas ameaças - só podemos esperar que, no caso do malware bancário, a tendência de queda que vimos nos últimos quatro meses de 2021 se estenda durante 2022.
As detecções de ameaças por e-mail, a porta de entrada para outros ataques, mais do que dobrou nos últimos anos. Esta tendência pode ser explicada principalmente por um aumento significativo dos e-mails de phishing, que compensou até mesmo a rápida diminuição da detecção de macros maliciosos para anexos de e-mails correspondentes ao Emotet. Na verdade, o Emotet, que esteve adormecido a maior parte do ano passado, ressurgiu nos últimos quatro meses de 2021 com seus operadores tentando reconstruir sua infraestrutura com o apoio do Trickbot. Os analistas de malware da ESET acreditam que a botnet se expandirá rapidamente este ano, empurrando o malware de volta para o topo das ameaças, um processo que iremos monitorar de perto.
Os últimos meses de 2021 também foram repletos de descobertas ocasionadas através de pesquisas. Por exemplo, a descoberta do FontOnLake, uma nova família de malware direcionado ao Linux, pela equipe da ESET Research; um bootkit UEFI anteriormente não documentado chamado ESPecter; o FamousSparrow, um grupo de ciberespionagem voltado para a indústria hoteleira, governos e empresas privadas em todo o mundo; e muitos outros. Durante o terceiro semestres, os nossos pesquisadores também publicaram uma análise de 17 estruturas maliciosas conhecidas por terem sido utilizadas para atacar redes isoladas, e concluíram a série de publicações sobre trojans bancários latino-americanos.
O relatório de ameaças da ESET para o terceiro trimestre de 2021 também inclui novas informações sobre operações de grupos APT. Desta vez, os pesquisadores forneceram atualizações sobre a atividade do grupo de ciberespionagem OilRig; as últimas informações sobre a exploração ativa do ProxyShell; e novas campanhas de spearphishing do famoso grupo de ciberespionagem The Dukes.
E, como sempre, os pesquisadores da ESET aproveitaram várias oportunidades durante os últimos meses para compartilhar suas experiências em várias conferências virtuais, como Virus Bulletin 2021, CyberWarCon 2021, SecTor 2021, AVAR 2021 Virtual e outros eventos. Durante os próximos meses, a nossa equipe de pesquisadores participará do SeQCure, realizado em abril de 2022, e da Conferência RSA, em junho de 2022, onde apresentarão informações sobre a recente descoberta do ESPecter.