A anatomia de um ataque cibernético: entenda as principais etapas da atuação de um cibercriminoso

Dia após dia as notícias são inundadas com relatos de ataques cibernéticos. Os incidentes cibernéticos estão aumentando de forma exponencial nas organizações e para combater este fenômeno e sobreviver em uma sociedade cada vez mais conectada, a atuação de equipes de segurança são cada vez mais relevantes. Entender a anatomia de um ataque cibernético pode ser essencial para proteger sua empresa da forma correta. Conheça um pouco mais sobre este tema neste artigo.

Entenda os objetivos e alvos de cibercriminosos

Existem várias razões que podem motivar a atuação de cibercriminosos, desde a intenção de obter vantagens financeiras ou mesmo o simples objetivo de se destacar em um grupo de atacantes.

É comum que o principal objetivo de cibercriminosos seja o acesso a dados financeiros, como informações de cartão de crédito, dados pessoas e informações classificadas como segredo de negócio. Os famosos ataques de ransomware tem o objetivo de sequestrar dados, normalmente com a solicitação de um pagamento para a devolução do acesso aos dados.

Neste sentido, realizar um mapeamento minucioso de seus processos com o objetivo de identificar onde estão armazenados os dados valiosos para sua empresa e adotar medidas de segurança mais rígidas, pode ser uma boa ideia. Pense também em analisar quais os privilégios de acessos cada profissional de sua empresa tem.

Identificando o elo mais fraco

O cibercriminoso sempre buscará uma forma de conseguir algum acesso à rede da organização. Uma vez dentro da rede, ele buscará aumentar seus privilégios de acesso e penetrar cada vez mais na sua estrutura.

Para conseguir este acesso, o cibercriminoso poderá utilizar diversas técnicas, como valer-se de engenharia social ou explorar vulnerabilidades em sistemas.

Através de pesquisas na internet, estes agentes podem coletar informações valiosas sobre a empresa alvo, como por exemplo endereços de e-mail dos principais empregados (C-levels, profissionais de TI e de área de negócio). Se não conseguirem encontrar os endereços de e-mail dos principais empregados, poderão enviar um email para o “fale conosco” e assim identificar a característica de assinatura e formatação dos e-mails. De posse destas informações, funcionários vulneráveis podem ser atacados através do envio de e-mails phishing que, através de um clique, podem finalmente dar ao cibercriminoso o acesso que desejava.

O processo de verificação de vulnerabilidades em sistemas, pode ser realizado com uma simples busca em sites na internet ou integrar um processo mais longo, exigindo semanas ou meses de atuação do agente criminoso.

Durante o ataque

Com acesso à rede, o cibercriminoso trabalhará para aumentar seus privilégios de acesso, utilizando ferramentas e técnicas para roubar credenciais e conseguir privilégios de administrador. Com o super-acesso, ele poderá acessar toda a rede e percorrer silenciosamente em busca de informações valiosas. Tal como dissemos anteriormente, este ataque pode ter diversas motivações, desde sequestrar dados para exigir um resgate ou até mesmo alterar ou apagar dados para prejudicar as atividades da empresa.

Após o ataque, estes agentes ainda podem tentar “esconder” nos sistemas “portas de acessos” para que possam recuperar o acesso à rede posteriormente. 

Tentativa de ofuscação

Com o objetivo de esconder seus rastros para mascarar as origens do ataque, o cibercriminoso poderá adotar medidas para evitar sua detecção. Diversas ferramentas e técnicas podem ser utilizadas para esta finalidade, como a falsificação, limpeza de log, contas zumbis e comandos de Trojan.

De olho na segurança da organização

Para se proteger destes ataques, a melhor arma é conhecer os pontos fracos da estrutura de cada empresa. Uma pesquisa da empresa Purplesec^[1] indicou que 98% dos ataques cibernéticos dependem de um clique de um colaborador para que o ataque se concretize. Imagine quantos ataques poderiam ser evitados se apenas o colaborador tivesse sido treinado corretamente ou se estivesse mais alerta sobre suas ações!

Uma equipe qualificada na área de segurança da informação também será essencial para que a empresa se saia bem nesta missão. Uma pesquisa da Karpersky apontou que 40% dos profissionais brasileiros entrevistados desconhecem os riscos cibernéticos. Na região latino-americana 77% dos profissionais entrevistados desconhecem o termo ransomware, enquanto 55% desconhecem o termo phishing.

Um time adequado de segurança da informação poderá implementar medidas de segurança para evitar incidentes, como por exemplos:

• Realizar testes nos sistemas e nas redes em busca de vulnerabilidades e corrigi-las preventivamente.
• Utilizar softwares de prevenção a intrusão capazes de detectar tentativas de reconhecimento.
• Utilizar softwares para filtragem de URL baseados em reputação capazes de bloquear links suspeitos automaticamente
• Utilizar firewalls e scanners de malware para bloquear malwares e vírus
• Utilizar antivírus nas máquinas dos usuários
• Utilizar softwares para analisar o tráfego de saída e aplicar filtro de saída para monitorar e restringir o tráfego.
• Realizar auditorias regulares de hardware e software para monitorar a integridade e a segurança de seus sistemas de TI.
• Além de, claro, realizar treinamento e conscientização de seus funcionários com o objetivo de educá-los sobre ataques cibernéticos!

Ainda que todas estas medidas sejam implementadas, é preciso manter em mente que, mesmo assim, o cibercriminoso pode encontrar uma brecha e atacar sua organização. E essa brecha como já dito muitas vezes são os empregados.

Por isso, é importante possuir um bom plano de resposta a incidentes caso isto aconteça. A atuação preventiva é a palavra-chave para evitar ataques cibernéticos, porém as empresas devem estar preparadas para agir no pior dos casos.

^[1] 2021 Cyber Security Statistics: https://purplesec.us/resources/cyber-security-statistics/

Aproveite e conheça um pouco mais sobre as certificações EXIN relacionadas ao tema deste artigo:

• CISEF – Cyber & IT Security Foundation
• ISFS – Information Security Foundation
• ISMP – Information Security Management Professional

Paulo Baldin CISM, CDPSE, DPO, CPC-PD, COBIT, MBA – Segurança da Informação (CISO) & Proteção de Dados e Privacidade (DPO)

Iara Peixoto Melo head de direito digital e proteção de dados do Chenut Oliveira Santiago