Ciber Big Game Hunting (BGH)

O que é Ciber Big Game Hunting (BGH)?

O Ciber Big Game Hunting (BGH) é um tipo de ciber ataque que geralmente utiliza ransomware para atacar grandes organizações de alto valor ou entidades de alto perfil.

Em termos gerais, as vítimas são escolhidas com base na capacidade de pagar pelo resgate, bem como na probabilidade de fazê-lo para retomar as operações comerciais ou evitar o escrutínio público. Os alvos comuns podem incluir:

• Grandes corporações
• Bancos e outras instituições financeiras
• Serviços de utilidade pública
• Hospitais e outras instituições de saúde
• Agências governamentais
• Indivíduos com alto patrimônio líquido, como celebridades e líderes empresariais proeminentes
• Qualquer organização que detenha dados sensíveis, incluindo propriedade intelectual, segredos comerciais, dados pessoais ou registros médicos

Explorando o cenário atual de Big Game Hunting (BGH)

Um comunicado conjunto sobre cibersegurança emitido pela Agência de Segurança de Infraestrutura (CISA), FBI e outros grupos de segurança em fevereiro de 2022 indica uma queda nas atividades de Big Game Hunting (BGH) a partir do segundo semestre de 2021. A análise sugere que o adversário pode ter recorrido a outras táticas por conta do aumento do escrutínio das autoridades policiais, bem como aos retornos decrescentes após o ciber ataque sofrido pela Colonial Pipeline Co. em maio de 2021, que foi amplamente divulgado e resultou em uma recuperação parcial do pagamento de resgate pelo FBI.

No entanto, uma análise recente da CrowdStrike sustenta que o Big Game Hunting (BGH) segue sendo uma grande preocupação de segurança para grandes organizações, independentemente de localização ou setor. O Índice do e-crime da CrowdStrike (ECX), uma ferramenta proprietária que fornece uma pontuação para rastrear alterações dentro do universo de ameaças, confirma que atores de big game hunting reduziram o ritmo de suas operações ou cessaram suas atividades em maio de 2021. No entanto, a partir de setembro de 2021, a atividade de Big Game Hunting (BGH) pareceu retornar a um nível próximo ao pico, indicando que essa tendência está novamente aumentando.

A última edição do Relatório Global de Ameaças de 2024 da CrowdStrike revela que o ransomware continua sendo a ferramenta preferida dos atores de Big Game Hunting (BGH). Houve um aumento de 76% nas vítimas citadas no website de vazamento de dados dedicado à Big Game Hunting (BGH) entre 2022 e 2023.

Quem são os atores de Ciber Big Game Hunting (BGH)?

Os atores de Ciber Big Game Hunting (BGH) são sofisticados e geralmente operam como parte de um grupo organizado para atacar alvos importantes. Em muitos casos, esses grupos operam como redes altamente estruturadas e organizadas, não muito diferentes de empresas corporativas. Eles geralmente são patrocinados por países e são suspeitos de terem ligações com agências governamentais ou figuras públicas importantes.

O CrowdStrike Adversary Universe destaca e rastreia o comportamento dos principais grupos adversários em todo o mundo. O objetivo do Adversary Universe é fornecer aos clientes uma visão das ameaças que eles enfrentam todos os dias, tanto da perspectiva vertical da vítima quanto do perfil de inteligência do adversário.

Como os atores de Big Game Hunting atacam?

Os atores de Big Game Hunting utilizam uma variedade de técnicas para realizar seus ataques. Na maioria dos casos, o método escolhido é o ransomware, um tipo de malware que criptografa os dados da vítima, exigindo um pagamento para restaurar o acesso.

Cada vez mais, grupos de e-crimes também estão aproveitando o ransomware como serviço (RaaS), que, como o nome indica, é um modelo de negócios que aluga variantes de ransomware da mesma forma que desenvolvedores de software legítimos alugam produtos de software como serviço (SaaS).

A tabela abaixo fornece exemplos bem conhecidos de ransomware como serviço (RaaS) e seus atores de Big Game Hunting (BGH):

Além de depender de ransomware e ransomware como serviço (RaaS) para realizar ataques, os Ciber Big Game Hunters também aproveitam muitas outras vulnerabilidades para seguir com suas operações. Essas vulnerabilidades incluem:

• Exploração de vulnerabilidade de nuvem: o Relatório de Ameaças Globais 2022 da CrowdStrike indica que atores mal-intencionados tendem a explorar de forma oportunista vulnerabilidades conhecidas de execução remota de código (RCE) em software de servidor, normalmente executando varreduras buscando servidores vulneráveis. Após o acesso inicial, os atores podem implementar uma variedade de ferramentas para seguir com o ataque. Diversos adversários, especialmente big game hunters, aproveitaram essa vulnerabilidade para obter acesso inicial ao sistema.
• Ataque de dia zero: atores de ameaças liberam um malware para se aproveitar da vulnerabilidade do software antes que o desenvolvedor do software corrija a falha. O termo “dia zero” é usado porque o fabricante do software não estava ciente da vulnerabilidade do seu software e teve “0” dias para desenvolver uma correção de segurança ou atualização para corrigir o problema. Esses tipos de ataque são extremamente difíceis de detectar, o que faz com que sejam um sério risco à segurança.

Como se defender do Ciber Big Game Hunting (BGH)?

Para identificar rapidamente as ameaças e reduzir o risco de Big Game Hunting (BGH), a organização deve tentar criar uma estratégia robusta de cibersegurança que defenda a organização em diferentes níveis. Aqui temos algumas recomendações úteis para a criação de uma estratégia abrangente de cibersegurança:

1. Treine todos os funcionários nas melhores práticas de cibersegurança: seus funcionários estão na linha de frente da sua segurança. Certifique-se de que eles estejam seguindo boas práticas de higiene — como usar proteção por senha forte, conectar-se apenas a redes Wi-Fi seguras e nunca clicar em links de e-mails não solicitados.
2. Mantenha seu sistema operacional e outros softwares corrigidos e atualizados: os cibercriminosos estão constantemente buscando brechas e backdoors para explorar. Ao ser vigilante na atualização de seus sistemas, você minimizará a exposição a vulnerabilidades conhecidas.
3. Implemente e aprimore a segurança de e-mail: a CrowdStrike recomenda implementar uma solução de segurança de e-mail que faça filtragem de URL e sandbox de anexos. Para otimizar esses esforços, é possível usar um recurso de resposta automatizada que permite colocar em quarentena, de forma retroativa, e-mails já entregues antes que o usuário interaja com eles.
4. Monitore continuamente seu ambiente em busca de atividades maliciosas e indicadores de ataque: a EDR (Endpoint Detection and Response, Detecção e Resposta de Endpoint) atua como uma câmera de vigilância em todos os endpoints, capturando eventos brutos para detecção automática de atividades maliciosas não identificadas por métodos de prevenção e dando visibilidade para uma investigação de ameaças proativa.
5. Integre inteligência de ameaças à sua estratégia de segurança: monitore seus sistemas em tempo real e fique por dentro das últimas notícias sobre inteligência de ameaças para detectar um ataque rapidamente, entender a melhor forma de responder e evitar que ele se espalhe.
6. Crie backups off-line à prova de ransomware: ao criar uma infraestrutura de backup à prova de ransomware, o ponto mais importante a ser considerado é que os atores de ameaças visam os backups on-line antes de implementar o ransomware no ambiente. Por essas razões, a única maneira segura de recuperar dados durante um ataque de ransomware é por meio de backups à prova de ransomware. Por exemplo, manter backups off-line de seus dados permite uma recuperação mais rápida em emergências.
7. Implemente um programa robusto de proteção de identidade: as organizações podem melhorar sua postura de segurança implementando um robusto programa de proteção de identidade para entender a higiene do armazenamento de identidades no local e na nuvem (por exemplo, Active Directory, Entra ID). Verifique se há lacunas, analise o comportamento e os desvios de cada conta da força de trabalho (usuários humanos, contas privilegiadas, contas de serviço), detecte o movimento lateral e implemente o acesso condicional baseado em risco para detectar e interromper as ameaças de ransomware.

Como proteger a organização contra Big Game Hunters e ransomware com a CrowdStrike

Para equipes de ciberproteção que estão tendo dificuldades para responder a alertas de cibersegurança e não têm tempo ou experiência para se antecipar às ameaças emergentes, o CrowdStrike Falcon^® Adversary Intelligence fornece informações críticas enquanto elimina a complexidade das investigações de incidentes que consomem recursos. O CrowdStrike Falcon^® Adversary Intelligence é a única solução que realmente integra informações sobre ameaças à proteção de endpoint, realizando investigações automaticamente, acelerando a resposta e permitindo que as equipes de segurança passem de um estado reativo para um estado preditivo e proativo.

Principais benefícios:

• Automatiza investigações sobre todas as ameaças que atingem seus endpoints
• Oferece IOCs (Indicadores de Comprometimento) personalizados para proteção proativa contra ameaças evasivas
• Fornece informações completas sobre ataques para permitir decisões melhores e mais rápidas
• Fortalece sua equipe com a análise dos especialistas da Inteligência CrowdStrike
• Simplifica as operações por meio de uma integração perfeita com a plataforma CrowdStrike Falcon®

Defenda, detecte, responda e recupere com a EY e o CrowdStrike

Os serviços e soluções de Operações e Resposta de Segurança de Última Geração (NGSOAR) da EY, juntamente com a plataforma CrowdStrike Falcon^® , fornecem proteção e capacidades de detecção líderes do setor com inteligência de ciberameaças e investigação de ameaças 24 horas por dia, 7 dias por semana, para obter uma vantagem significativa sobre ameaças de ransomware. A solução oferece aos clientes conjuntos visibilidade imediata e em tempo real do ambiente de suas organizações, identificando e eliminando possíveis comprometimentos e evitando falhas silenciosas. Essa combinação potente permite conter ameaças ativas e a removê-las das redes rapidamente, eliminando a ameaça de ransomware de forma imediata e eficiente.