O segundo semestre de 2023 registrou alguns incidentes importantes de segurança cibernética. O Cl0p, um notório grupo de cibercriminosos conhecido por realizar ataques de ransomware em grande escala, chamou a atenção por seu extenso "MOVEit hack", que surpreendentemente não envolveu a implantação desse malware. O ataque teve como alvo várias organizações, incluindo corporações globais e órgãos governamentais dos EUA. Uma mudança importante na estratégia do Cl0p foi sua decisão de vazar as informações roubadas para sites abertos em todo o mundo nos casos em que o resgate não fosse pago, uma tendência também observada no grupo de ransomware ALPHV. Outras novas estratégias no cenário de ransomware, de acordo com o FBI, incluíram a implantação simultânea de várias variantes de ransomware e o uso de limpadores após o roubo e a criptografia de dados.
No cenário da IoT, nossos pesquisadores fizeram uma descoberta notável. Eles identificaram um kill switch que havia sido usado para derrubar a botnet Mozi IoT, uma das maiores do gênero que monitoramos nos últimos três anos. A natureza do tempo de inatividade repentino do Mozi levanta a questão de saber se o kill switch foi usado pelos criadores da botnet ou pelas forças de segurança chinesas. Uma nova ameaça, Android/Pandora, apareceu no mesmo cenário, comprometendo dispositivos Android - incluindo smart TVs, caixas de TV e dispositivos móveis - e usando-os para ataques DDoS.
Em meio a um amplo debate sobre ataques baseados em IA, identificamos campanhas específicas direcionadas a usuários de ferramentas como o ChatGPT. Também observamos um número significativo de tentativas de acesso a domínios mal-intencionados com nomes semelhantes a "chapgpt", aparentemente em referência ao chatbot do ChatGPT. As ameaças encontradas por meio desses domínios também incluem aplicativos da Web que manipulam de forma insegura as chaves da API OpenAI, enfatizando a importância de proteger a privacidade de suas chaves da API OpenAI.
Também observamos um aumento significativo nos casos de spyware para Android, atribuído principalmente à presença do spyware SpinOk, que é distribuído como um kit de desenvolvimento de software e encontrado em vários aplicativos legítimos para Android. Em outros lugares, uma das ameaças mais registradas no segundo semestre de 2023 é um código JavaScript malicioso de três anos de idade, detectado como JS/Agent, que continua a ser carregado em sites comprometidos. Da mesma forma, o Magecart, uma ameaça que persegue dados de cartão de crédito, continuou crescendo por dois anos, atacando miríades de sites sem correção. Em todos os três casos, os ataques poderiam ter sido evitados se os desenvolvedores e administradores tivessem implementado medidas de segurança adequadas.
Por fim, o aumento no valor do bitcoin não foi acompanhado por um aumento correspondente nas ameaças contra a criptomoeda, o que é uma divergência das tendências anteriores. No entanto, os ladrões de criptomoedas tiveram um aumento notável, causado pelo auge do malware como serviço (MaaS) Lumma Stealer, que tem como alvo as carteiras de criptomoedas. Esses desenvolvimentos mostram um cenário de segurança cibernética em constante evolução, com agentes de ameaças usando uma ampla variedade de táticas.