O uso de ferramentas prontas para a proliferação de ataques cibernéticos

O cibercriminoso de hoje em dia pode ser qualquer pessoa mal-intencionada pois o estereótipo da pessoa “nerd” não é mais uma realidade. Cada vez mais ataques podem ser contratados usando automações e bots para realizar ataques, de acordo com uma análise da Barracuda Networks no relatório “Panorama de ameaças: Ataques automatizados em aplicativos da web”, revelou que mais da metade (54%) de todos os ataques cibernéticos que foram bloqueados em novembro e dezembro de 2020 foram a aplicativos da web e envolveram o uso de ferramentas automatizadas.
As ferramentas oficiais de simulação de ataques têm sido cada vez mais usadas por hackers e proliferado as invasões exponencialmente em tempos recentes. Softwares como o Cobalt Strike, voltado a apoiar simulações corporativas legítimas em ambientes controlados, tem sido bastante utilizado por hackers “Black Hat” (maliciosos) em invasões reais contra diversas empresas, de todos os tamanhos, ao redor do mundo.

Os ataques do tipo fuzzing, tem sido um dos métodos mais usados para a descoberta de vulnerabilidades em aplicações. Essas ferramentas utilizam a automação para detectar e explorar as vulnerabilidades, e na sequência é utilizado um tipo de ataque de injeção. Essas ferramentas utilizam a automação como sqlmap para obter acesso aos aplicativos ou sites com erros de programação. Os bots são ferramentas que utilizam a automação (como bot do Google ou similar) para encontrar possíveis vulnerabilidades.

Antes de mais nada, é importante desmistificar um aspecto importante dos ataques cibernéticos. Muitas vítimas ou leigos no tema imaginam, em paralelo com assaltos ou furtos na vida real, que uma invasão é um golpe de oportunidade no qual o hacker “bate e sai correndo”, rapidamente, antes que seja desmascarado pelos sistemas de segurança. Ao contrário, ataques bem-sucedidos passam indetectados pela segurança corporativa por dias, no mínimo, e até mesmo meses, antes que o impacto fique evidente para as empresas.

Segundo o relatório do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido demonstra a proliferação de ferramentas genéricas que os cibercriminosos estão utilizando e que estão publicamente disponíveis, e cada vez mais, obtendo sucesso.

A dinâmica padrão dos incidentes cibernéticos para essa infiltração silenciosa possui uma dinâmica específica. Em geral, ela inicia pela invasão, utilizando algumas das centenas de milhares de vulnerabilidades conhecidas sobre os diversos softwares e APIs mais utilizados pelas empresas, e a posterior instalação de um “programa monitor” na máquina invadida. Esse programa monitor será o espião do atacante e reportará, a cada minuto, para uma central controlada pelo cibercriminoso. A partir desse ponto inicial, o cibercriminoso encontra meios para ganhar acessos privilegiados e se espalhar pela rede. Nesse ponto, a permanência do invasor gera uma cadeia de impactos que pode incluir o vazamento massivo de dados, ora vendidos a terceiros, ora divulgados publicamente com pedido de extorsão ou ainda a destruição de dados com pedido de resgate.

A má notícia é que não é mais necessário ser um grande especialista em segurança cibernética ofensiva para colocar em prática todas essas operações. Suítes de simulação de ataques como o “Cobalt Strike” ou “Armitage” tem automatizado e simplificado essa experiência e tornado essas atividades tão simples quanto editar um documento ou enviar um e-mail.

Esse é um jogo desigual. Os recursos necessários (conhecimentos, ferramentas) para um ataque bem-sucedido é cada vez mais baixo e o custo de um ataque bem-sucedido é cada vez mais alto para as empresas. Nesse momento, a melhor alternativa para as empresas é pensar estrategicamente em como reduzir o impacto de um ataque que certamente ocorrerá, com alta probabilidade, nos próximos 12 meses.

Para contextualizar todo o cenário descrito compartilho 3 ataques recentes: (i) os cibercriminosos invadiram e sequestraram o sistema de processos eletrônicos da Prefeitura Municipal Itapemirim, no Sul do Espírito Santo, e cobraram o equivalente a R$ 250 milhões pelo resgate dos dados; (ii) venda 19 bancos de dados, um web shell, uma credencial de API e três credenciais para acesso remoto sistemas – sendo dois do Governo Federal e um de governo estadual. Somadas, essas intrusões alcançam nada menos do que 23 organizações brasileiras: são cinco do setor financeiro, seis de telecomunicações, dez governamentais (oito federais e duas estaduais) e duas do setor comercial; (iii) autoridades chinesas teriam chamado executivos da nuvem do Alibaba para conversas sobre a violação de dados do banco de dados da polícia referente um roubo de dados pessoas executado por cibercriminosos de aproximadamente um bilhão de cidadãos.

Verificando que não é mais necessário ser um grande especialista em segurança cibernética ofensiva para usar todas as práticas maliciosas que um cibercriminoso possa realizar, e somado com os três principais gaps para as empresas e os executivos de Cyber Security, como as empresas podem atuar para combaterem estes cenários?  A resposta está muito além de investimentos em ferramentas de segurança de tecnologia, como, firewall, antivírus, SIEM entre outras, palestras e produção de materiais que incentivem boas práticas e promovam a conscientização com relação à cibersegurança.

As empresas necessitam cada vez mais investir na educação cibernética e engajamento dos colaboradores como finalidade principal, para que tenham hábitos “ciberseguros” como pessoas e consequentemente como profissionais, por meio do que é chamado de motivação intrínseca.

Os colaboradores se envolvendo e entendendo o porquê que a educação cibernética é importante para eles mesmos e para a organização, começam a ter hábitos que apoiam na proteção como: (i) habilidades para identificar golpes cibernéticos; (ii) capacidade de proteger sua família contra crimes cibernéticos; (iii) ser reconhecido como um colaborador de valor dentro da organização, podendo até receber prêmios; (iv) reportando problemas e sugerindo melhorias; (v) não caindo em mensagens de phishing; (vi) praticando cibertatitudes com sugestões de melhorias e denúncias por parte dos usuários.

Essa forma de atuação das empresas perante o cibercrime, segundo uma pesquisa da Macfee de 2018, informa que 95% das organizações que investem em educação cibernética para promover cibersegurança observarão benefícios claros provenientes dessa ação.

Paulo Baldin CISM, CDPSE, DPO, CPC-PD, COBIT, MBA – Head de Segurança da Informação (CISO) e Proteção de Dados e Privacidade (DPO)

Aproveite e conheça os detalhes das certificações EXIN ligadas ao tema Proteção de Dados e Segurança conversas sobre a violação de dados do banco de dados da polícia referente um roubo de dados pessoas executado por cibercriminosos de aproximadamente um bilhão de cidadãos.