Continuadamente em contacto com os clientes, verificamos que as grandes empresas apontam os ataques dirigidos e o hacking como dois dos seus maiores desafios de segurança, já que podem ter um sério impacto na continuidade da sua atividade e interferir diretamente nos negócios de uma empresa.
Os hackers têm muitos meios para se infiltrarem nas empresas. No entanto, e a verdade é que muitos ataques não exigem um nível muito elevado de sofisticação tecnológica. Em vez disso, técnicas como engenharia social dirigida, ou seja, spear phishing, ou o uso de vulnerabilidades conhecidas para as quais podem já existir patches, mas empresas ainda não fizeram as devidas atualizações, podem dar origem a danos de reputação, violações de dados e ter um impacto nas receitas.
Por outro lado, elevados níveis de sofisticação também podem ser aplicados, como no caso de um ataque Zero Day. O principal deles foi o Stuxnet, um ataque registado em que o código malicioso implementou com sucesso quatro vulnerabilidades zero-day para impedir um programa de enriquecimento de urânio no Irão e que, segundo a comunicação social, se tratava de um ataque patrocinado pelo Governo.
Existem muitos motivos pelos quais as organizações se tornam alvos repetidos. As suas contas bancárias têm mais recursos do que as de uma pessoa ou de uma pequena ou média empresa, e têm também quantidades consideráveis de dados interessantes que podem ser transacionados. Os ataques dirigidos a empresas também podem ser usados como uma forma de competição. Na maioria das vezes, está relacionada com a caça aos dados, ou seja, obter informações interessantes ou propriedade intelectual. Estes ataques podem ser acompanhados por chantagem. Por exemplo, uma base de dados de clientes é roubada de uma empresa e a questão que fica é mesmo sobre o que estarão dispostos a fazer para a recuperar, sendo explorada pelos hackers.
Diferentes maneiras de obter rendimento têm consequências diferentes
As empresas têm sempre dificuldades em admitir que foram vítimas de ataques informáticos. Consequentemente, isto pode dar a outras empresas a falsa impressão de que tais ataques acontecem apenas ocasionalmente. Um exemplo típico de ataques dirigidos, comuns nos últimos anos, são os ataques DDoS as a Service – ataques que são patrocinados por determinadas empresas para atacar o site de outro, com o objetivo de destruir negócios e afastar os clientes da empresa-alvo. Tratam-se de táticas criminosas, e os invasores sabem muito bem quais as áreas de negócios que podem atingir para a obtenção de maiores rendimentos.
Existem, claro, outras abordagens. Tomemos como exemplo o do Serviço Nacional de Saúde britânico, que se tornou um alvo frequente de ataques de ransomware. A digitalização dos serviços de saúde resultou numa situação em que a encriptação mal-intencionada de dados médicos pode levar a uma paralisação em intervenções médicas e cirurgias. Sob tais condições, as organizações-alvo são geralmente mais propensas a pagar um resgate pelos dados dos pacientes “sequestrados”.
Mesmo em pequenos países europeus, como a Eslováquia, os ataques concentram-se geralmente nos departamentos de contabilidade e finanças das empresas. Uma técnica documentada de spear phishing tem passado por abordar esses departamentos com um e-mail ou um SMS em nome do CFO da empresa, solicitando que o funcionário em questão pague uma fatura recebida de uma empresa fictícia. O dinheiro vai diretamente para a conta de uma empresa fictícia.
Abordagens inovadoras para truques antigos
Em muitas áreas rurais por todo o mundo, basta uma olhadela pelas empresas de energia para ficar exposta a facilidade com que se fazem ligações ilegais à rede elétrica naquelas regiões. Ultimamente, os hackers seguem um modelo semelhante, concentrando os seus recursos na mineração ilegal de várias criptomoedas, que provaram ser altamente populares no imaginário do público.
Um exemplo mais complexo foi de um ataque dirigido ao StatCounter, que fornece um serviço muito semelhante ao Google Analytics e usa um script especial, legitimamente colocado em sites para obter dados sobre os visitantes do site. Neste caso, os hackers violaram com sucesso o StatCounter e, subsequentemente, obtiveram acesso aos utilizadores finais do serviço, injetando código JavaScript em todos os sites que usam o serviço do StatCounter.
O verdadeiro problema surgiu quando os visitantes navegaram nos sites agora comprometidos que continham o script infetado e, de seguida, os seus dispositivos começaram a minerar secretamente bitcoins. Num segundo estágio, os hackers roubavam bitcoins diretamente dos dispositivos infetados, quando tentavam aceder a uma normal troca de criptomoedas. Para se ter uma ideia da escala de tal operação, o StatCounter pode ser encontrado em mais de dois milhões de sites.
Tal ataque significa que os recursos do sistema de dispositivos infetados na empresa que utilizam legitimamente o serviço são adicionalmente responsáveis pela mineração. Isto pode não se referir apenas a computadores, mas também a dispositivos móveis e especialmente a servidores ligados à rede. A mineração de criptomoedas subsequente acelera o desgaste dos dispositivos e também aumenta as contas de eletricidade. Além disso, não devemos esquecer que o código malicioso de encriptação geralmente é capaz de carregar outro tipo de scripts mal-intencionados na rede.
Investigações podem levar meses e é como “procurar uma agulha num palheiro”
Quando uma grande empresa é vítima de tal ataque, é necessário realizar uma investigação complexa sobre o que aconteceu e perceber de que forma a empresa foi afetada. Investigações mostram que demora cerca de 150 a 200 dias para que as empresas descubram que estão infetadas. Outras pesquisas sobre o método pelo qual a empresa foi infetada e qual a origem do código malicioso poderá levar ainda mais tempo.
Enfrentando riscos tão substanciais, grandes empresas devem utilizar soluções como o ESET Dynamic Threat Defense para detetar ameaças inéditas e ferramentas EDR como o ESET Enterprise Inspector (EEI) para monitorizar todos os dados da rede da empresa coletados pelo ESET Endpoint Security e executar análises de longo prazo desses dados num contexto mais amplo da empresa. O EEI é uma ferramenta para análise forense retrospetiva, e fornece à empresa afetada informações sobre o mecanismo utilizado e o momento em que a infeção foi iniciada.
Procura crescente de ferramentas forenses para investigar a segurança da rede
A ESET tem vindo a assistir a uma grande procura por produtos de segurança capazes de detetar anomalias na rede. Isto não se refere apenas a anomalias no comportamento de aplicações na rede, mas também ao comportamento de pessoas ativas na rede. Posteriormente, cabe a um especialista em segurança avaliar as informações para descobrir se tais ações estão a ter um impacto negativo na rede. Independentemente da sofisticação, ataques bem-sucedidos são geralmente bem concebidos. “Primeiro, pode ver uma pequena dica ou indicação, que aparece na rede. Pode permanecer ocioso por um longo tempo. No entanto, o seu relógio interno acabará por comunicar que é o momento certo para se ligar ao seu servidor de controlo”, explica Michal Jankech, Principal Gestor de Produto da ESET. “Esta é uma das razões pelas quais é tão complicado descobrir o que causou uma infeção na empresa”.
Agora, graças ao software EDR especializado, a empresa é capaz de identificar ficheiros executáveis desconhecidos que apareceram na sua rede, e se estão a comunicar com um servidor num país onde a empresa não tem relações comerciais. Avaliar e filtrar esses distúrbios é uma tarefa crítica, embora difícil. Se não for monitorizada, algo poderá passar e representar um perigo para a empresa.
“Hoje em dia, todos clientes exigem ter uma visão melhor da sua rede. Trabalham sob a suposição de que nenhuma prevenção é 100% segura e querem saber onde deve recair a sua atenção”, acrescenta Jankech. O ESET Enterprise Inspector, faz parte de um pacote especial de proteção empresarial chamado ESET Targeted Attack Protection, foi projetado para proteger as empresas contra ataques dirigidos e ameaças persistentes. Com gestão a partir de uma única consola, a solução fornece uma visão abrangente que é necessária para uma proteção efetiva de uma rede empresarial.