Um painel de especialistas se reuniu durante a RSA Conference, um dos principais eventos do mercado de segurança digital, para indicar as cinco técnicas de ataque mais perigosas da atualidade, que devem se tornar tendência no setor ao longo dos próximos anos. São métodos de exploração, golpes e extração de dados que tentam encontrar brechas diante de um mercado que ainda tenda se proteger de ofensivas comuns, como ransomware e negação de serviço, representando focos de atenção para o futuro próximo.
A palestra sobre tendências acontece a cada ano e reúne especialistas do Instituto SANS (Segurança, Administração de sistemas e Redes, na sigla em inglês), organização privada americana focada em cursos, treinamento e análise em cibersegurança. A ideia é alertar corporações e especialistas sobre as ameaças que estão por vir, de acordo com a experiência de cada um dos membros no mercado e em diferentes setores da tecnologia.
Confira cada um dos insights apresentados durante palestra na RSA Conference:
Aumento no uso de serviços cloud legítimos em ataques
A primeira tendência apresenta, como quase todas as outras, uma evolução de técnicas de invasão e exploração já existentes. Onde antes se falava em “living off the land”, um tipo de ataque que envolve o uso de ferramentas legítimas e malware sem arquivo, agora existe o “living off the cloud”. É um vetor que, conforme aponta Katie Nickels, diretora de inteligência do SANS e da Red Canary, une a conveniência para os criminosos com ampla capacidade de furtividade.
Isso se deve ao uso de sistemas reconhecidos como o OneDrive, que serve para hospedar ameaças, encurtadores de URLs e o Ngrok, aplicando domínios legítimos e túneis reversos a links que, de outra maneira, seriam detectados como maliciosos. Tais plataformas também são simples e baratas de serem utilizadas pelos bandidos, além e amplamente utilizadas em ambientes corporativos, o que aumenta a possibilidade de deslize de um colaborador e acaba não sendo bloqueadas por firewalls e outras plataformas de proteção.
“Bloquear domínios não é uma solução aqui, [pois estes] são serviços legítimos. O usuário conhece e clica no link, com o método sendo cada vez mais adotado pelos adversários por sua simplicidade”, explica Nickels. Ela aponta, mais do que nunca, a necessidade de educação e indicação de elementos maliciosos, além da necessidade de reportar as ofensivas aos fornecedores de serviços, para que eles possam bloquear contas e detectar vetores incipientes de abuso.
Autenticação em dois fatores não é absoluta
A verificação em múltiplas etapas costuma ser citada como um mecanismo de segurança básico e padronizado, mas também um capaz de impedir boa parte dos ataques que envolvem vazamento de dados e roubo de credenciais. Não é assim, conforme aponta Nickels, já que os golpistas estão se aproveitando de falhas de configuração e do próprio formato dessa autenticação para obter acesso a redes corporativas mesmo onde elas estão ativadas.
O objetivo é encontrar deslizes nas configurações ou contas que deveriam estar desativadas, mas ainda permitem intrusão. A especialista cita, por exemplo, um caso em que um perfil ActiveDirectory estava desprotegido e deveria ter sido desligado, enquanto outras contas estavam protegidas com autenticação em duas etapas; adversários russos foram capazes de encontrar tal abertura e registrar um novo dispositivo, descobrindo a senha por força bruta e tendo acesso a toda a rede sem que os administradores de rede percebessem o problema.
“Saber o que é normal para as contas ajuda a encontrar elementos maliciosos que possam estar escondidos”, aponta Nickels. Na visão dela, um sistema de monitoramento mais apropriado pode ajudar a reconhecer anomalias desse tipo, enquanto contas inativas ou desativadas devem ser tratadas como tal, efetivamente sendo apagadas ou bloqueadas para que não se tornem ameaças dormentes em potencial.
Johannes Ullrich, reitor de pesquisa do SANS, levanta uma outra questão que normalmente passa despercebida: a dos tokens de acesso físico que são substituídos, mas não apagados, ainda carregando dados importantes de login. “Manter a encriptação forte e a chave protegida é a melhor opção, mas preste atenção no cenário de ameaças, já que não existe uma solução que sirva para tudo”, explica, enquanto aponta um único ato que jamais deve ser realizado: dispositivos desse tipo não podem ser descartados, principalmente no lixo público, sem estarem perfeitamente protegidos e destruídos. Muita empresa, aponta, aprendeu isso da pior forma possível.
Backups são alvo tanto quanto sistemas ativos
O reitor também é o líder do Internet Storm Center, um grupo de 40 especialistas em segurança digital que monitoram a rede diariamente e publicam alertas sobre novos vetores de ameaça. Para ele, uma coisa já ficou clara: os backups não são mais a fronteira final para recuperação após um golpe de ransomware, se tornando cada vez mais um foco de atenção dos criminosos, com direito a técnicas especializadas para destruição desta salvaguarda.
Em sua fala, ele traz um pouco de leveza afirmando que “backups são chatos e deveriam permanecer assim”. A ideia é que nada de errado nem crítico deve acontecer com eles, com os arquivos permanecendo isolados e protegidos dos servidores ativos. “Uma falta de noção sobre abrangência, inventário e localização das informações, entretanto, pode colocar tudo a perder”, completa.
Ele cita que, assim como todos os outros sistemas, infras dedicadas a backups também podem ser configuradas de forma equivocada ou trazerem vulnerabilidades que levem à execução remota de códigos. Além disso, Ullrich aponta o cuidado com dispositivos e endpoints que acessem tais plataformas como essenciais, com políticas de retenção de dados, controle e proteção de acessos e criptografia de ponta a ponta sendo essenciais para evitar interceptação e destruição dos dados que deveriam servir como o socorro das corporações em um momento crítico.
Stalkerware e espionagem
Heather Mahalik, diretora sênios de inteligência digital da SANS e especialista em tecnologia forense, levou ao palco uma constatação aterradora, mas só para quem não acompanha o noticiário de tecnologia. “Se alguém quiser entrar no seu dispositivo, vai conseguir. Caso você se torne um alvo, não será capaz de fazer nada. Não é uma questão de se, é de quando”, afirmou, se referindo às operações de espionagem e aos ataques direcionados focados no roubo de informações.
Baixa higiene de segurança em dispositivos pessoais e pouca atenção a atualizações e dispositivos como relógios, roteadores e a Internet das Coisas fazem com que operações desse tipo tenham nível elevado de sucesso. Prova disso, segundo ela, é o fato de, quase cinco anos depois, ainda existir uma incidência significativa de contaminações com o Wannacry, um dos primeiros ransomwares, na ativa desde 2017 e responsável por um caos em dezenas de países. “O mobile normalmente é a última prioridade para as equipes de segurança, mas as empresas precisam pensar nisso na hora de compor os times”, afirma.
Isso sem falar de malwares que não exigem cliques ou sistemas de rastreamento, ameaças que, de acordo com Mahalik, só ficam dormentes até que um atacante veja a necessidade de as utilizar de novo. Ela cita, por exemplo, o Pegasus, desenvolvido pelo grupo NSO e focado em operações de espionagem, ou ataques de phishing altamente especializados que chegam via iMessage ou Facetime.
Preparar-se com antecedência e manter monitoramento constante, principalmente no que tocam os alertas sobre o que está sendo instalado em um dispositivo, ajudam a manter a segurança. Às corporações e indivíduos, também é importante saber a posição ocupada e que tipos de ameaças podem surgir, tomando ações de defesa prévia e prevenção para, pelo menos, tentar evitar o pior.
Ataques contra satélites
A invasão da Ucrânia pela Rússia acelerou um processo que Rob T. Lee, diretor do SANS, via como uma tendência de alguns anos à frente. O ataque realizado por agentes russos contra o sistema de satélites Viasat, que acabou dificultando o acesso à internet em parte da Europa, faz parte da mudança no jogo geopolítico e, também, modifica as regras para ofensivas digitais, sendo foco de atenção para organizações do setor e segmentos que dependem desse tipo de tecnologia.
“Se a internet está no céu, ela não está sob o comando de nenhuma nação. O impacto do uso de satélites em setores de segurança e privacidade ficará conosco por algum tempo”, explica, apontando que operações de combate e interceptação de dados não mais dependem de fronteiras regionais. O mesmo também vale para firewalls nacionais, bloqueios e outros sistemas do tipo, na medida em que nomes como Starlink invadem o mercado e oferecem seus serviços a cidadãos e organizações.
Tais corporações, porém, também devem se tornar um alvo, uma vez que estados-nação e agentes cibercriminosos a serviço deles não vão deixar barato. O golpe desferido pelo wiper AcidRain contra a Viasat, então, foi só o começo dessa história.
Por: Felipe Demartini