0
0
Os ataques cibernéticos são executados como ataques militares, em quatro fases principais: reconhecimento, ataque, exfiltração e manutenção da posição. Entender isso torna a luta mais fácil.
O verão de 2020 foi diferente de qualquer outro. O COVID-19 deixou uma marca enquanto as pessoas permanecia em casa, isoladas de seus colegas e mais um passo (ou passos) longe de seus sistemas de trabalho e proteções. Como tal, os ataques cibernéticos aumentaram, e nem sempre foi bonito.
Pense em julho, quando o Twitter foi hackeado. As contas de várias figuras de alto perfil – incluindo Barack Obama e Elon Musk – tornaram-se partes involuntárias de um golpe de Bitcoin.
Pouco mais de uma semana depois, Garmin foi atingido por um ataque de ransomware WastedLocker que derrubou muitos de seus sistemas. Embora a empresa adine que os dados dos usuários não foram comprometidos, mesmo a perspectiva de que um cibercriminoso poderia ter acesso aos dados e hábitos de localização de um usuário era perturbadora. O ataque também teria custado à empresa US$ 10 milhões em sua decisão de pagar o resgate.
No mesmo dia, a Agência Nacional de Segurança (NSA)e a Agência de Segurança cibernética e infraestrutura(CISA)também emitiram um alerta com suas “ações imediatas para reduzir a exposição entre tecnologias operacionais e sistemas de controle” na tentativa de proteger sistemas críticos de ataques que poderiam causar sérios problemas para milhões de americanos.
Os ataques cibernéticos têm aumentado em número e complexidade nos últimos anos, mas dada a prevalência de eventos, e sinais de que ataques maiores podem estar no horizonte, é um bom momento para examinar o que entra em um ataque cibernético.
Definindo uma violação
Violações podem ocorrer quando um ator ruim invade uma rede corporativa para roubar dados privados (pense na Sony Pictures e no lançamento de e-mails embaraçosos). Eles também ocorrem quando as informações são apreendidas da infraestrutura baseada em nuvem.
Muitas pessoas pensam que violações de segurança só acontecem com corporações consideráveis, mas a Verizon descobriu que 43% das violações afetam pequenas empresas. Na verdade, esta foi a maior coorte medida. E os danos que essas empresas sofrem são consideráveis — 60% saem do negócio dentro de seis meses após um ataque.
As pequenas empresas fazem alvos atraentes porque sua segurança geralmente não é tão avançada quanto a encontrada dentro de grandes empresas. Os sistemas podem estar desatualizados, e os bugs muitas vezes ficam sem correção por longos períodos. Os SMBs também tendem a ter menos recursos disponíveis para gerenciar um ataque, limitando sua capacidade de detectar, responder e recuperar. Além disso, as pequenas empresas podem servir como campos de testes para os hackers testarem seus métodos nefastos antes de lançar um ataque a outro peixe maior.
Entendendo um ataque
A melhor maneira de qualquer empresa se proteger de um ataque é saber como se funciona. De um modo geral, os ataques cibernéticos são análogos a ataques militares da vida real. Existem quatro fases principais: reconhecimento, ataque, exfiltração e manutenção da posição.
Vamos quebrar cada fase:
Passo 1: Reconhecimento
Nesta fase, o atacante escopo opções para um ataque que maximizará as chances de atingir seus objetivos — sejam eles roubando dados ou segredos comerciais, causando paralisações de serviço ou desviando fundos. O atacante implanta uma série de técnicas para descobrir que tipo de defesas uma organização tem em vigor e quão bem elas são mantidas. Por exemplo, há uma grande lacuna entre quando uma atualização ou patch é emitido e quando é instalado?
Os maus atores querem obter qualquer informação que puderem sobre a rede e seus hábitos de usuário. Eles cooptam as ferramentas e truques que foram desenvolvidos para ajudar as organizações a se armarem contra o ataque, lançando-as para ajudar a executar um ataque. Estes incluem:
- Shodan: Anunciada como “o primeiro mecanismo de busca de dispositivos conectados à internet do mundo”, esta ferramenta pode ser usada por invasores para aprender sobre o software de servidor de uma organização.
- theHarvester: Aplicado para “coletar e-mails, subdomínios, hosts, nomes de funcionários, portas abertas e banners de diferentes fontes públicas, como mecanismos de busca, servidores-chave PGP e banco de dados de computador SHODAN” no Kali Linux. Embora tenha sido projetado para ajudar os testadores de penetração, pode ser uma ótima fonte de informação para hackers.
- Recon-ng: Auxilia na identificação de hosts, bancos de dados e muito mais. Semelhante ao TheHarvester, é uma ferramenta automatizada criada para testadores de caneta, e tem o potencial de ser explorada por intenção maliciosa.
- Google Dorks: Usado por hackers para encontrar credenciais que forneçam acesso direto aos sistemas. Eles realizam pesquisas avançadas no Google usando strings como “-intitle:”index of” api_key OR “api key” OR apiKey
Os hackers também usam ferramentas como OpenVAS, Netsparker e Nessus para caçar vulnerabilidades.
Passo 2: Ataque
Usando o que aprenderam na fase de reconhecimento, os maus atores implantam o que determinaram ser a estratégia mais eficiente. Mas há elementos comuns de ataques. Primeiro, um atacante tem que se infiltrar no sistema. Mais comumente, eles fazem isso ganhando credenciais através de spear-phishing, elevando seus privilégios e fornecendo malware para cobrir seus rastros.
Once this is done, the attacker is free to roam through the network undetected — often for months, waiting and watching for something of value. Such maneuvering might mean enumerating Amazon Web Services or looking for more target areas in addition to sifting through data sources.
Passo 3: Exfiltração
A seguir, a exfiltração, quando ocorre o roubo real. Para realizar exfiltração com o menor risco de detecção, os dados precisam ser comprimidos para que possam ser removidos rapidamente sem atrair muita atenção. Com o estrangulamento da largura de banda, os dados podem ser extraídos sem disparar alarmes. Os dados roubados são enviados para um servidor controlado por hackers ou para uma fonte de dados baseada em nuvem.
Passo 4: Posição de manutenção
Uma vez que o ataque é executado e os dados removidos, os atacantes precisam ter certeza de que a organização que eles estão atacando não reimagem seus sistemas. Caso contrário, o ataque não será capaz de causar o máximo de estragos. Como tal, os maus atores provavelmente instalarão malware em várias máquinas para que eles tenham as chaves do reino e possam voltar para a rede quando quiserem.
Em Guarda
Com a compreensão do básico dos ataques cibernéticos, as organizações podem defender melhor sua posição. Eles podem priorizar coisas como higiene do sistema para que os pontos finais permaneçam atualizados e protegidos. Eles também podem realizar testes de penetração em um cronograma regular para que uma rede de testadores qualificados empurre sistemas e aplicativos para identificar possíveis pontos a serem explorados. Uma vez encontrados esses pontos, as empresas podem tomar medidas rápidas para corrigi-los.
O gerenciamento e os testes contínuos do sistema são apenas duas maneiras pelas quais as empresas podem ficar à frente, encontrando configurações erradas e vulnerabilidades antes de um ataque. No ambiente atual, a vigilância é fundamental, uma dose saudável de paranoia é sábia, e ações preventivas são necessárias.
FONTE: DARK READING