A economia informal do cibercrime: não seja a próxima vítima

Há várias medidas que podem ser implementadas para mitigar os riscos apresentados por dispositivos vulneráveis de acesso remoto, serviços públicos ou mesmo aplicações em nuvem mal configuradas

Compartilhar:

Por Paolo Passeri

 

Uma tendência emergente na economia informal é a comercialização de acesso inicial, na qual os cibercriminosos conseguem o ponto de entrada para invadir organizações por meio de VPN (rede privada virtual) ou RDP (protocolo de área de trabalho remoto) comprometidos para vender ou oferecer como serviço a outros criminosos em fóruns. Essa terceirização permite que os atacantes se concentrem na fase de execução de um ataque sem ter que se preocupar em como entrar na rede da vítima.

 

A popularidade desses “corretores de acessos” é alimentada por vários fatores, como o aumento da exposição dos serviços devido à alta do trabalho remoto e a adoção acelerada da nuvem sem priorizar a segurança. A dispersão da força de trabalho deixou os usuários remotos mais vulneráveis ao phishing, que surgem também em novas formas, como o phishing OAuth, e as contas em nuvem são agora alvos ainda mais cobiçados por agentes maliciosos.

 

Os criminosos também tiveram uma ajuda inesperada da onda de aumento de ataques que atingiu toda tecnologia de acesso remoto, uma tendência que começou no final de 2019 e continua incessantemente. Muitas vulnerabilidades críticas foram exploradas para concluir ataques de ransomware ou realizar operações de espionagem cibernética, agravando ainda mais a situação. Até mesmo sistemas expostos diretamente na Internet serviram de alvo para os atacantes.

 

Segundo o relatório Threat Landscape da Nuspire, as explorações de vulnerabilidades em tecnologias tradicionais de acesso remoto estão atingindo novos recordes. Entre eles está o pico de 14 milhões de tentativas de ataques com força bruta para descoberta de logins em dispositivos que operam em protocolo de rede SMB (Server Message Block (SMB), aka Common Internet File System (CIFS)). Essa tática é usada com frequência por ser fácil e automatizada e representa 69,73% de todas as tentativas de exploração no primeiro trimestre de 2021.

 

Sem surpresas, a exploração do RDP é uma das ações recorrentes da pandemia. A ESET detectou quase 29 bilhões de ataques de força bruta ao RDP durante 2020, revelando um aumento de 768% em relação ao ano anterior. Um servidor de RDP mal configurado ou vulnerável, direcionado para a Internet, expõe as organizações a múltiplos riscos, incluindo ransomware, e esse tipo de exposição se tornou uma tendência nas cargas de trabalho na nuvem pública.

 

Como mitigar os fatores de risco que alimentam esse mercado 

 

Há várias medidas que podem ser implementadas para mitigar os riscos apresentados por dispositivos vulneráveis de acesso remoto, serviços públicos ou mesmo aplicações em nuvem mal configuradas.

 

O acesso Zero Trust, baseado no conceito de “confiança zero”, oferece uma alternativa de entrega em nuvem às VPNs tradicionais ao permitir que os recursos sejam publicados de forma simples e segura, evitando a exposição direta de serviços, como RDP, SMB ou SSH (Secure Shell Protocol) e teoricamente, qualquer serviço on-premises. É possível publicar e segmentar praticamente qualquer aplicação localizada em um data center local ou em uma nuvem privada ou pública, sem abrir qualquer serviço de entrada que possa ser sondado e eventualmente explorado por criminosos.

 

Também não há necessidade de dispositivos de hardware on-prem para instalar, corrigir e manter, o que evita problemas de escalabilidade e gargalos de desempenho. Além disso, uma verificação da postura de segurança do endpoint precisa ser aplicada antes de acessar a aplicação alvo, como uma forma mais inteligente e segura de fornecer conectividade remota no “novo normal”.

 

Uma solução CASB (Cloud Access Security Broker) pode detectar contas comprometidas e desvios no padrão de comportamento dos usuários em SaaS (software como serviço), identificando aplicativos OAuth maliciosos com excesso de permissões usadas para realizar esse tipo específico de ataque de phishing. Da mesma forma, uma solução de gerenciamento de postura de segurança em nuvem (CSPM) consegue detectar configurações errôneas similares em serviços IaaS (infraestrutura como serviço), reduzindo os riscos de exploração de vulnerabilidades.

 

Em face das evidências comprovadas pelos estudos de mercado, fica claro o quão vital é proteger as redes dos “Access Brokers” como forma de limitar a exposição de serviços desprotegidos a invasores cibernéticos terceiros. A adoção de soluções e arquiteturas robustas de segurança para mitigar ataques é também um passo estratégico essencial e prioritário para preservar as organizações nesse cenário crescente de economia informal do cibercrime.

 

*Paolo Passeri, diretor de inteligência cibernética da Netskope 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...