50% do malware detetado em PME é utilizado para obter dados e credenciais

De acordo com o Sophos Threat Report 2024, cerca de 50% do malware detetado em pequenas e médias empresas (PME), em 2023, correspondeu a keyloggers, spyware e stealers, utilizados para a obtenção de dados e credenciais. Além disto, observa-se um aumento da fraude via emails corporativos, a sofisticação das táticas de engenharia social e a contínua presença do ransomware enquanto a maior ameaça para as PME.

O relatório da Sophos demonstra que, após o recurso a keyloggers, spyware e stealers para exfiltrar dados e credenciais, os cibercriminosos utilizam estas informações para obter acesso remoto não autorizado, assim como para extorquir as vítimas, instalar ransomware, entre outros.

Os brokers de acesso inicial (IAB) foram também objeto de análise pela parte da equipa da Sophos, remetendo para os cibercriminosos especializados na invasão de redes de computadores. Os dados do estudo indicam que a dark web está a ser utilizada pelos IAB para promover as suas capacidades e serviços, com vista a invadir especificamente redes de PME ou a vender o acesso ‘chave na mão’ a empresas que os invasores já conseguiram infiltrar.

“O valor dos ‘dados’ enquanto moeda aumentou exponencialmente entre os cibercriminosos, e isto é particularmente mais real para as PME, que tendem a utilizar um serviço ou aplicação de software, por função, para toda a sua operação”, explica Christopher Budd, Director, Sophos X-Ops Research da Sophos. “Por exemplo, os atacantes podem instalar um infostealer na rede do seu alvo para roubar credenciais, e depois obter a palavra-passe do software de contabilidade da empresa. Neste caso, os atacantes poderiam ter acesso às finanças desta e conseguir canalizar os fundos para as suas próprias contas”.

“Há uma razão pela qual mais de 90% de todos os ciberataques reportados à Sophos em 2023 envolveram roubo de dados ou credenciais, seja através de ataques de ransomware, extorsão de dados, acesso remoto não autorizado ou simplesmente roubo de dados”, refere Budd.

O ransomware continua a representar a maior ciberameaça para as PME, ainda que o número dos ataques contra estas empresas tenha estabilizado. As PME analisadas pela equipa Sophos Incident Response (IR) foram principalmente visadas pelo grupo de ransomware LockBit, seguindo-se o Akira e o BlackCat. Estas empresas enfrentaram também ataques de ransomware mais antigo e menos conhecido, como o BitLocker e o Crytox, segundo o relatório.

Ainda mais, verifica-se o esforço dos cibercriminosos em continuar a alterar as suas táticas de ransomware, recorrendo a encriptação remota e a atacar fornecedores de serviços geridos (MSP). De acordo com o relatório, o número de ataques de ransomware que envolveram encriptação remota registou um aumento de 62% entre 2022 e 2023.

Os ataques de comprometimento de emails corporativos (BEC) ocuparam o segundo lugar no que diz respeito aos tipos de ciberameaças mais relevantes com que a Sophos IR lidou em 2023.

Os ataques BEC, a par de outras campanhas de engenharia social, apresentam um crescimento da sua sofisticação, sendo que estes ataques já não se resumem ao envio de um email com um anexo malicioso. Atualmente, existe uma maior probabilidade de os cibercriminosos envolverem os seus alvos na burla, diz a Sophos, interagindo com estes através de conversas por email ou de chamadas.

Além disto, os atacantes estão a procurar experimentar novos formatos para o seu conteúdo malicioso com vista a fugir à deteção pelas ferramentas tradicionais de prevenção de spam. Por este motivo, observam-se a incorporação de imagens com um código malicioso ou o envio de anexos no OneNote ou em formatos de arquivo. 

Um caso investigado pela Sophos, refere a empresa, assentou no envio pelos cibercriminosos de um documento PDF com uma thumbnail desfocada e ilegível de uma “fatura”, sendo que o botão de download continha um link para um site malicioso.