Os recentes alertas sobre o ransomware Sorry Worm, as novas atividades do trojan bancário Grandoreiro e o aumento do uso de inteligência artificial por cibercriminosos parecem abordar questões distintas. De fato, eles indicam uma transformação bem similar: os ataques tornaram-se mais rápidos, automatizados e mais desafiadores de interromper.
As empresas precisam estar atentas a essa mudança. Não apenas devido à evolução das ameaças, mas também porque o tempo para agir está cada vez menor.
Quando uma vulnerabilidade vira uma cadeia de comprometimento
O caso do Sorry Worm chama atenção porque não se limita à exploração de uma falha específica. A ameaça aproveita uma vulnerabilidade crítica em ambientes cPanel e WHM para obter execução remota de código e, a partir daí, automatizar diferentes etapas da ofensiva
Isso inclui movimentação lateral dentro da rede, tentativas de acesso via SSH e, por fim, a criptografia dos sistemas comprometidos. O que torna esse tipo de ransomware particularmente preocupante é sua converter uma falha não corrigida em uma cadeia completa de comprometimento.
Para os negócios, o alerta vai além da aplicação de patches. É preciso entender quais ativos estão expostos, monitorar comportamentos anômalos e identificar tentativas de movimentação interna antes que a atividade maliciosa alcance sistemas críticos.
O Grandoreiro mostra que o cibercrime continua evoluindo
O Grandoreiro não é um malware novo. Ainda assim, continua aparecendo em campanhas direcionadas a instituições financeiras porque seus operadores seguem adaptando técnicas para escapar dos mecanismos de proteção.
As campanhas mais recentes identificadas em Portugal e na América Latina mostram o uso de recursos como DLL Side-Loading, que permite carregar código malicioso a partir de aplicações aparentemente legítimas, dificultando a detecção por ferramentas tradicionais. Em paralelo, os criminosos mantêm o uso de engenharia social como porta de entrada, combinando técnicas conhecidas com métodos de evasão mais sofisticados.
O resultado é um risco que consegue unir dois elementos que costumam funcionar bem para os atacantes: a confiança do usuário e a dificuldade de identificação dentro do ambiente corporativo.
A inteligência artificial ampliou a escala dos ataques
A IA impõe uma pressão adicional sobre as equipes de segurança. Não apenas porque está sendo usada para aprimorar a sofisticação dos ataques, mas também porque acelerou consideravelmente a velocidade e a amplitude das ações criminosas.
Atividades que antes precisavam da mão humana, como o desenvolvimento de campanhas de phishing, a investigação de informações disponíveis publicamente ou a personalização de mensagens para diferentes perfis de vítimas, agora podem ser automatizadas e realizadas em massa. Isso facilita a vida dos atacantes e eleva o número de ameaças que os ambientes de negócio precisam vigiar.
O desafio é que muitas organizações não conseguem acompanhar esse ritmo. Uma pesquisa recente mostrou que mais da metade das empresas não possui capacidade para realizar monitoramento e resposta contínuos, 24 horas por dia, enquanto a ampla maioria demonstra preocupação com ataques impulsionados por inteligência artificial.
Esses casos são alguns exemplos que explicam o crescente interesse por modelos de segurança que integrem monitoramento constante, detecção proativa e resposta ágil a incidentes. No atual cenário, em que as ações maliciosas ocorrem a qualquer momento e em grande escala, a capacidade operacional é tão importante quanto as ferramentas que estão sendo utilizadas.
Como as empresas devem se preparar
Os três exemplos mencionados destacam a mesma urgência de diminuir o tempo de resposta. O que inclui a aceleração na correção de falhas críticas, a implementação de autenticação multifatorial, a revisão das estratégias de backup e o investimento em monitoramento constante, e, adicionalmente, a realização de testes de planos de resposta a incidentes antes que uma crise ocorra.
Outro obstáculo é que muitas organizações ainda contam com ferramentas pontuais e pouca integração entre as diversas camadas de segurança. Quando um ataque se espalha rapidamente entre usuários, dispositivos e aplicativos, torna-se muito mais complicado detectar a questão e tomar medidas a tempo.
Dessa forma, é essencial integrar prevenção, detecção e resposta de maneira coordenada. Quanto mais rápido se identifica uma ameaça, menos probabilidade há de comprometer operações, dados e clientes.
Nenhuma empresa é capaz de garantir que estará completamente a salvo de uma investida cibernética. É possível minimizar o impacto quando ela acontece.
O desafio agora é ganhar velocidade
O Sorry Worm, o Grandoreiro e os ataques orquestrados por inteligência artificial são ameaças diferentes, mas todas sinalizam uma mesma tendência. Os criminosos estão cada vez mais aperfeiçoando a combinação de automação, escala e velocidade.
Para os líderes, a questão já não é apenas como prevenir um ataque. A questão é se a organização tem a capacidade de identificar, reagir e se recuperar tão rapidamente quanto o cenário atual exige.
Pois, atualmente, a velocidade é também uma questão de segurança.
*Por Dennis Brach, country manager da WatchGuard Brasil.
