0
0
Mesmo na era atual da evolução digital, hackers mal-intencionados continuam a usar vetores de ataque que datam de décadas atrás. Pesquisas mostram períodos notáveis de ressurgimento relacionados a certos métodos considerados antiquados. O que isso indica é que, embora as especificidades do ataque possam mudar com o tempo, os pontos de infecção, distribuição e proliferação podem permanecer e até levar à mais significativa das violações.
“Os cibercriminosos tendem a retornar aos métodos de ataque ‘antigos favoritos’, particularmente quando vetores mais novos são desligados ou se tornam mais difíceis de executar devido aos esforços das equipes de aplicação da lei e de segurança”, diz o vice-presidente de Inteligência de Ameaças da Egress, Jack Chapman.
O engenheiro estratégico de segurança da Cato Networks, Peter Lee, concorda, citando duas principais razões pelas quais os cibercriminosos usam vetores de ataque “old school” – economia e aquisição de alvos. “O mercado de exploração em expansão coloca um preço em tudo o que os atacantes jogam em seus alvos e os preços variam enormemente, então há um forte incentivo para os atacantes começarem barato e trabalharem seu caminho para cima. Não há necessidade de queimar seu dia zero de US$ 2 milhões do iPhone se você puder comprometer o mesmo alvo explorando um CVE de servidor web não reparado de 2017. Em segundo lugar, melhorias na defesa cibernética em todo o quadro tornaram mais difícil para os cibercriminosos levar sua mensagem para alvos-chave, o que ocasionalmente os está forçando a recuar em vetores antigos que caíram do radar de muitos defensores.”
Aqui estão sete velhos vetores de ataque que os cibercriminosos ainda usam hoje com conselhos práticos para se defender contra eles.I-A Verde: A cor do dinheirohttps://imasdk.googleapis.com/js/core/bridge3.504.0_en.html#goog_822418540 segundos de 21 minutos, 50 segundosVolume 0%
1. Dispositivos de armazenamento físico para infectar sistemas, espalhar malware
Os primeiros vírus do computador se espalham através de disquetes, e o uso de dispositivos de armazenamento físico para infectar sistemas e propagar malware persiste até hoje. Isso foi evidenciado em janeiro de 2022, quando o FBI emitiu um aviso público sobre o BadUSB, uma campanha de ataque USB na qual inúmeras unidades USB, atadas com software malicioso, foram enviadas a funcionários de organizações nos setores de transporte, defesa e seguros.
Os USBs foram configurados teclados disfarçados de cartões de presente ou faturas e, uma vez inseridos, injetaram comandos para baixar malwares como agarradores de credenciais, backdoors e ransomware. A campanha foi uma tentativa de explorar a tendência do trabalho em massa e mostrou que os fraudadores modernos não são avessos ao uso de métodos que têm dezenas de anos.
“Desde meados de 2021, a Cisco Talos Incident Response (CTIR) tem respondido a um número crescente de engajamentos nos quais as unidades USB removíveis estão infectando organizações com malware, afetando uma variedade de verticais do setor”, diz David Liebenberg, chefe de análise estratégica da Cisco Talos, à CSO. “Observamos várias variantes de malware, tipicamente mais antigas, entregues desta maneira, incluindo Sality e PlugX, que visam sistemas Windows e são conhecidos por se espalharem através de unidades removíveis.”
Os atacantes continuam a usar esse método de ataque porque ele funciona e para explorar o aumento do trabalho híbrido, juntamente com a falta de treinamento dos funcionários, diz Liebenberg. “As organizações que usam USBs ou unidades removíveis para operações comerciais legítimas devem limitar e, se possível, restringir o uso de USB no ambiente. Eles também devem ter políticas claras que restringem o reaproveitamento de USB ou o uso de USBs de casa e fornecer treinamento para os funcionários sobre os riscos associados à conexão de USBs pessoais a sistemas corporativos.”
2. Vírus macro para explorar o Microsoft Word e o Outlook
Os atacantes continuam a atacar organizações com vírus escritos em macro linguagens e escondidos em documentos, um vetor de ataque desde o vírus Melissa de 1999. Esse vírus explorou sistemas baseados no Microsoft Word e no Outlook, infectando computadores por e-mail e um anexo malicioso, antes de enviar em massa para as primeiras 50 pessoas na lista de contatos da vítima e desativar vários recursos de proteção.
“Apesar das maneiras de as organizações se protegerem e da orientação de pessoas como o NCSC do Reino Unido, o NIST dos EUA e o ACSC australiano, as macros ainda são difíceis de defender completamente”, diz Piers Wilson, chefe de gerenciamento de projetos da Huntsman Security. “Muitos dos vetores em torno de macros dependem da engenharia social. Por exemplo, um documento pode aparecer como caracteres aleatórios, enquanto o e-mail de cobertura diz que, como um documento sensível, os usuários precisam habilitar macros para decodificá-lo.”
Os atacantes podem usar macros para crimes cibernéticos ou tentativas de exploração mais sofisticadas, mas grande parte da proteção se resume à educação do usuário e colocar controles técnicos no gateway e ponto final, acrescenta Wilson. “No entanto, como muitos documentos ainda usam macros (incluindo, ironicamente, questionários de segurança de fornecedores), há sempre o risco de que a vigilância falhe e um ataque passe.”
3. Explorando vulnerabilidades antigas e não reparadas para ganhar bases de ataque
O direcionamento de vulnerabilidades previamente identificadas é uma tática muito comum, testada no tempo, usada por invasores e vulnerabilidades conhecidas podem ser exploradas anos depois se não forem corrigidas, disse allie Mellen, analista da Forrester, à CSO. “Um exemplo clássico disso é a exploração EternalBlue. Apesar dos patches terem sido lançados para a vulnerabilidade em março de 2017, a exploração foi usada em maio de 2017 pelo ransomware WannaCry, e novamente em junho de 2017 no ataque cibernético NotPetya. É por isso que a patches de sistemas de forma rápida e eficaz é tão importante.”
Ryan Linder, engenheiro de risco e vulnerabilidade da Censys, concorda. “EternalBlue (CVE-2017-0144) ainda está tornando as organizações vulneráveis hoje. A exploração afeta o protocolo SMB (Server Message Block, bloco de mensagens do servidor). De acordo com os dados de pesquisa do Censys, ainda existem mais de 200 mil sistemas expostos à internet que suportam o SMBv1, criado em 1983″, diz. Muitas empresas não conseguem manter seus softwares atualizados, o que as deixa vulneráveis a explorações críticas, e mesmo quando as explorações são divulgadas publicamente, muitas ainda não conseguem corrigir seus sistemas, acrescenta.
Corrigir consistentemente também é uma coisa muito difícil de fazer em uma empresa grande e complexa, e é por isso que é importante priorizar esses esforços e torná-lo um esforço em toda a empresa, diz Mellen.
injeção .SQL 4 para manipular aplicativos/páginas da Web, acessar bancos de dados
Os ataques do SQL podem ter mais de 20 anos, mas os hackers continuam voltando para explorar aplicativos/webpages da Web e acessar os bancos de dados que estão atrás deles, diz Chapman. “Não é uma abordagem nova ou inovadora, mas os cibercriminosos sabem que não precisam reinventar a roda para obter resultados.” As injeções de SQL ainda funcionam porque os desenvolvedores geralmente cortam código sem a consciência adequada da segurança, acrescenta.
De fato, as injeções de SQL ocupam o 3º lugar no Top 10 da OWASP para vulnerabilidades na Web e, em 2021, 718 vulnerabilidades de injeção SQL foram aceitas como CVEs. “As organizações podem prevenir esses ataques com testes dinâmicos de segurança de aplicativos (DAST) e testes estáticos de segurança de aplicativos (SAST) em vigor”, acrescenta Chapman.
5. Fraude de taxas avançadas para usuários fraudulentos
Essa técnica ganhou sua reputação através de 419 golpes, comumente conhecidos como o truque “parente rico perdido que morreu e te deixou dinheiro”. Pesquisas indicam que ela remonta ao século XIX e é frequentemente usada por fraudadores nos dias atuais. O método aproveita a escassez de tempo – por exemplo, “Você vai perder se você não agir rapidamente e você terá um grande retorno para um pequeno gasto.”
“Enquanto o e-mail do ‘tio rico’ ainda circula hoje em dia, essa técnica é muito mais provável de ser usada no contexto de um golpe de criptomoeda (invista uma pequena quantia para um grande golpe de transferência de transferência/golpes de cartão de presente (ajudar seu chefe a sair por favor no local de trabalho) ou falsos golpes de penalidade (pague à Receita Federal algum dinheiro para que eles cancelem uma conta de imposto), ” O fundador da Bugcrowd, Casey Ellis, diz ao CSO. Esses golpes são eficazes porque desencadeiam ganância, aversão à perda e viés de escassez, diz ele.
“Se uma vítima é explorada com sucesso, muitas vezes um invasor explorará falácia suspensa e dobrará a obtenção de mais deles.” O isolamento social e as mudanças na dinâmica social criada pela pandemia COVID-19 têm visto um aumento nesse tipo de golpe, uma vez que a capacidade normal de verificar se o envolvimento em uma atividade é sábio ou não é mais difícil para a vítima em potencial, diz Ellis. “Dentro de uma empresa, fomentar uma cultura de confiança, mas verificar, ao lado de zero culpa (e zero críticas por verificar duas vezes se algo é legítimo ou não), pode ser uma maneira eficaz de fortalecer uma força de trabalho contra esse tipo de ataque, e se bem feito, eles podem compartilhar suas lições e paranoia proativa para proteger melhor suas famílias e amigos também.”
6. Ataques do Protocolo de Desktop Remoto para expor sistemas
As vulnerabilidades do RDP têm sido um problema há anos, mas aproximadamente um terço dos ataques cibernéticos ainda começam com um computador Windows com RDP exposto à internet, diz Ray Canzanese, diretor do Netskope Threat Labs. “Os atacantes automatizaram completamente seus processos para descobrir e atacar serviços expostos como o RDP.”
O RDP nunca deve ser exposto à internet, acrescenta Canzanese, e se você precisar de acesso rdp quando estiver fora de casa ou fora do escritório, então você deve estar usando uma das muitas soluções de acesso de rede privada virtual (VPN) ou de acesso a rede de confiança zero (ZTNA) que permitem que você use RDP sem expô-lo. “Você pode usar uma solução VPN ou ZTNA para garantir que nenhum serviço de rede seja exposto à internet para ser alvo de invasores.”
7. Phishing de rede de gesso direcionado a grupos de vítimas
Os ataques de phishing de e-mail de rede de gesso são nomeados após uma técnica tradicional de pesca onde o pescador joga uma rede relativamente pequena em um lago ou outra pequena área. Eles não se importam com o peixe que pegam, mas será daquele pequeno espaço. “Ao contrário do spear-phishing, que é muito focado em atacar um indivíduo específico, ou phishing de rede de drift, que pode enviar milhares para milhões de e-mails na esperança de pegar qualquer pessoa com a isca, o lançamento tem como alvo qualquer um em uma organização específica”, diz o engenheiro técnico sênior da Vulcan Cyber, Mike Parkin. “O atacante não se importa com quem na organização morde a isca, desde que consigam alguém no espaço alvo.”
Apesar de ser um método de ataque que existe há muitos anos, ele ainda é usado hoje, pois cai no ponto doce de esforço e eficácia para os cibercriminosos, acrescenta Parkin. “Esses ataques podem usar um gancho oportuno, como um evento esportivo local ou a abertura de um novo restaurante nas proximidades, que a organização alvo acharia plausível e passaria por filtros de spam em massa. Algo assim requer muito menos pesquisa do que criar um gancho que pode pegar um único indivíduo. Uma vez que um invasor tenha um dedo do pé, ele pode expandir sua base no ambiente da organização.”
FONTE: CSO ONLINE