Como os ataques cibernéticos funcionam

Os ataques cibernéticos são parecidos com ataques militares, e geralmente são divididos em quatro fases principais: reconhecimento, ataque, exfiltração e manutenção da posição. Entender como isso funciona pode tornar a luta muito mais fácil.

Os ataques cibernéticos vêm aumentado em número e complexidade nos últimos anos, mas dado o cenário atual e os sinais de que ataques maiores podem estar no horizonte, este é um bom momento para examinar o que acontece em um ataque cibernético.

Violação de dados

As violações podem ocorrer quando um malfeitor invade uma rede corporativa para roubar dados privados. Eles também ocorrem quando as informações são retiradas da infraestrutura baseada em nuvem.

Muitas pessoas pensam que as violações de segurança acontecem apenas em grandes corporações, mas um estudo da Verizon ¹, aponta que 43% das violações afetam pequenas empresas, e os danos sofridos por essas empresas são consideráveis - 60% fecham as portas seis meses depois de um ataque.

As pequenas e médias empresas são alvos atraentes porque sua segurança geralmente não é tão avançada quanto a encontrada em grandes empresas. Os sistemas podem estar desatualizados e os bugs geralmente ficam sem correção por longos períodos. As pequenas e médias empresas, também tendem a ter menos recursos disponíveis para gerenciar um ataque, limitando sua capacidade de detectar, responder e recuperar. Além disso, as pequenas empresas podem servir como “laboratório” para que os hackers testem seus métodos e ferramentas antes de lançar um ataque a outro alvo maior.

Compreendendo um ataque

A melhor maneira de qualquer empresa se proteger de um ataque, é saber como um deles funciona. De modo geral, os ataques cibernéticos são parecidos aos ataques militares da vida real. Existem quatro fases principais: reconhecimento, ataque, exfiltração e manutenção da posição.

Etapa 1: Reconhecimento (ou enumeração)
Nesta fase, o invasor coleta informações e analisa opções para um ataque que maximizará as chances de atingir seus objetivos – isso pode ser através do roubo dados ou segredos comerciais, ou causando interrupções no serviço. O invasor implanta uma série de técnicas para descobrir que tipo de defesas a organização possui e como elas são mantidas. Por exemplo, existe um grande período de tempo para uma atualização ou patch, do momento em que ele é lançado e quando ele é instalado?

Os malfeitores desejam obter todas as informações possíveis sobre a rede e os hábitos de seus usuários. Além de engenharia social, eles podem utilizar ferramentas e truques que estão públicos na Internet. Podemos citar como exemplo:

Shodan: Considerado como “o primeiro mecanismo de busca do mundo para dispositivos conectados à Internet”, essa ferramenta pode ser usada por invasores para aprender sobre as características de software de dipositivos de uma organização.
theHarvester: Utilizado para “reunir e-mails, subdomínios, hosts, nomes de funcionários, portas abertas e banners de diferentes fontes públicas, como mecanismos de pesquisa, servidores de chave PGP e banco de dados de computador. Embora tenha sido projetado para ajudar os pen-testers, pode ser uma ótima fonte de informações para hackers.
Recon-ng: Auxilia na identificação de hosts, bancos de dados e muito mais. Semelhante ao Harvester, é uma ferramenta automatizada criada para pen-testers e tem potencial para ser explorado para fins maliciosos.
Google Dorks: Usado por hackers para encontrar credenciais que fornecem acesso direto aos sistemas. Eles realizam pesquisas avançadas no Google usando strings como “-intitle:” index of “api_key OR” api key “OR apiKey

Etapa 2: Ataque
Usando o que aprenderam na fase de reconhecimento, os malfeitores implantam o que consideram a estratégia mais eficiente. Mas existem elementos comuns de ataques. Primeiro, um invasor precisa se infiltrar no sistema. Mais comumente, eles fazem isso obtendo credenciais por meio de spear-phishing, elevando seus privilégios e apagando registros (logs) para cobrir seus rastros.

Feito isso, o invasor fica livre para navegar pela rede sem ser detectado – geralmente por meses, aguardando e observando por algo de valor. Essa manobra pode significar, enumerar serviços na nuvem ou procurar mais áreas de destino, além de vasculhar outras fontes de dados.

Etapa 3: Exfiltração
O próximo passo é a exfiltração, quando ocorre o roubo de dados efetivamente. Para realizar a exfiltração com o menor risco de detecção, os dados precisam ser encriptados e compactados para que possam ser transferidos rapidamente sem atrair muita atenção. Com uso reduzido de largura de banda, os dados podem ser extraídos sem disparar alarmes. Os dados roubados são enviados a um servidor controlado por um hacker ou a uma fonte de dados baseada em nuvem.

Etapa 4: Manter a posição
Depois que o ataque é executado e os dados transmitidos, os invasores precisam se certificar de que a organização que estão atacando, não recriou a imagem de seus sistemas. Caso contrário, o ataque não será capaz de causar o máximo de destruição. Dessa forma, os malfeitores provavelmente instalarão malware em várias máquinas para que tenham as “chaves do cofre” e assim, possam voltar à rede sempre que desejarem.

Comentário do Especialista

Compreender os princípios básicos dos ataques cibernéticos, permite que as organizações possam defender melhor sua posição. Com isto, elas podem priorizar coisas como a higiene do sistema, para que os dispositivos permaneçam atualizados e protegidos. Elas também podem conduzir testes de penetração em período regular, de modo que pen-testers qualificados analisem sistemas e aplicativos para identificar pontos potenciais a serem explorados. Uma vez que esses pontos sejam encontrados, as empresas podem tomar medidas rápidas para remediá-los.

O gerenciamento e os testes contínuos dos sistemas, são apenas duas maneiras pelas quais as empresas podem ficar à frente, encontrando configurações incorretas e vulnerabilidades antes de um ataque. No cenário atual o monitoramento é fundamental, e uma ação preventiva é necessária. Uma dose saudável de paranoia é sensata.

Frederico Freitas, CISSP é Solutions Sales Engineer na Add Value e especialista em cibersegurança.

—
Fonte: Verizon ¹ – https://enterprise.verizon.com/resources/executivebriefs/2019-dbir-executive-brief.pdf

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.