O Relatório Crowdstrike encontra o aumento de ataques cibernéticos sem malware e ameaças orientadas pela IA em 2024

Um novo relatório hoje de Crowdstrike Holdings Inc. Destaques como as cibermeates evoluíram significativamente em 2024, com os atacantes mudando para intrusões sem malware, engenharia social assistida por inteligência artificial e vulnerabilidades focadas na nuvem.

O 11º Relatório Anual de Ameaças Globais de Crowdstrike 2025 detalha um aumento na suposta atividade cibernética apoiada pela China, uma explosão em “Vising” ou phishing de voz e ataques baseados em identidade e o crescente papel da IA ​​generativa no crime cibernético.

Em 2024, Crowdstrike constatou que 79% das invasões cibernéticas eram livres de malware, em comparação com 40% em 2019. Os invasores foram cada vez mais alavancando as ferramentas legítimas de gerenciamento e monitoramento remotas para ignorar as medidas tradicionais de segurança. E o tempo de fuga – o tempo que leva para um invasor se mover lateralmente dentro de uma rede comprometida após obter acesso inicial – caiu para 48 minutos em 2024, com alguns ataques espalhados em menos de um minuto.

Ataques baseados em identidade e engenharia social viram surtos notáveis ​​até 2024. Os ataques de vingança aumentaram mais de cinco vezes, substituindo principalmente o phishing tradicional como um método primário de acesso inicial. As tentativas de representação do Help Desk também aumentaram ao longo do ano, com adversários convencendo a equipe de tecnologia da informação a redefinir senhas ou ignorar a autenticação multifatorial.

Os anúncios de corretores de acesso, onde os invasores vendem credenciais roubadas, subiram 50% a 2024, à medida que mais credenciais foram roubadas e disponibilizadas na Web Clear e Dark.

Os supostos atores ligados à China também estavam ocupados durante o ano. Os pesquisadores da CrowdStrike reivindicam um aumento de 150% na atividade, com algumas indústrias vendo um pico de 200% a 300%. Os mesmos grupos são observados no relatório como adotando fortes medidas de OPSEC, dificultando seus ataques.

Assim como no relatório anual do ano passado, Crowdstrike também destaca a crescente proeminência da IA ​​no cibercrime. A IA generativa agora é amplamente adotada para engenharia social, phishing, golpes de profundidade e campanhas automatizadas de desinformação. As campanhas notáveis ​​da IA ​​incluem o Famous Chollima, do Grupo Ligado para Coréia do Norte, usando entrevistas falsas de emprego movidas a IA para infiltrar as empresas de tecnologia.

Os ataques em nuvem e software como serviço também foram encontrados em 2024, com adversários preocupados com a nuvem expandindo suas táticas e explorando contas válidas para o acesso inicial. Cerca de 35% dos incidentes de segurança em nuvem envolveram abuso válido de contas, à medida que os invasores evitavam malware para se manter não detectado e a exploração de SaaS aumentou. Os invasores direcionaram as interfaces de programação do Microsoft 365, SharePoint e Enterprise para exfiltrar dados sensíveis.

Na frente da vulnerabilidade, mais da metade das vulnerabilidades observadas em 2024 estavam relacionadas ao acesso inicial, reforçando a urgência de garantir pontos de entrada. O relatório observa que a exploração de vulnerabilidades em dia zero ou não atingida continua sendo uma preocupação, com grupos apoiados pelo estado focados em aparelhos de rede e infraestrutura em nuvem.

Para combater os crescentes níveis de risco de segurança, os pesquisadores da CrowdStrike recomendam o fortalecimento da segurança da identidade por meio de MFA resistente a phishing, monitoramento contínuo de contas privilegiadas e caça de ameaças proativas para detectar intrusões sem malware antes que os invasores estabeleçam uma posição. As organizações também devem implementar a detecção de ameaças orientada pela IA em tempo real, garantindo recursos rápidos de resposta para mitigar ataques em movimento rápido, como aqueles com tempos de fuga em menos de um minuto.

Além da proteção de identidade, as empresas são recomendadas para fortalecer a segurança da nuvem, aplicando o acesso menos privilegiado, monitorando as teclas da API para uso não autorizado e protegendo aplicativos de software como serviço contra abuso de credenciais. À medida que os adversários exploram cada vez mais a automação e as ferramentas de IA, os defensores são aconselhados a adotar análises comportamentais avançadas e soluções de visibilidade de domínio cruzado para detectar intrusões furtivas e interromper as operações adversárias antes de escalarem.

Imagem: Siliconangle/Ideogram