A CrowdStrike apresentou seu estudo “Threat Landscape” deste ano, em que cita as últimas percepções sobre as tendências de ação do cibercrime global. Nesse sentido, a vendor ressaltou uma nova tendência de agentes hostis utilizando métodos de ataque chamados de “Cross Domain”, cujo objetivo é atravessar diversos domínios da rede corporativa sem ser detectado. Essa descoberta é reforçada pelo aumento de 75% de intrusões em cloud e por 50% das táticas de invasão analisadas pelo MITRE estarem baseadas em identidade.
Durante a apresentação do estudo em coletiva de imprensa, o Chefe de Operações contra Adversários da CrowdStrike, Adam Meyers, explica que, através desse método, os agentes hostis cruzam múltiplos espaços visando maximizar seu alcance e impacto no alvo. Seu objetivo é explorar vulnerabilidades entre esses ambientes conectados – incluindo identidade, endpoints e nuvem – para driblar proteções tradicionais e se manter escondidos.
“Esses adversários querem, em última instância, ganhar acesso a credenciais de cloud, onde eles poderão operar diversas atividades maliciosas, utilizando ações que não estão sendo monitoradas adequadamente. Dali, eles podem analisar quais são os alvos mais críticos para a corporação e focar diretamente neles”, explica Meyers.
Já Marcos Ferreira, Director Sales Engineering LATAM da CrowdStrike, ressalta que essas operações já são detectadas em alvos baseados no Brasil e na região latino-americana, atingindo cada vez mais verticais de negócio diferentes. Nesse sentido, dado o grande movimento das empresas nacionais em direção à cloud, esse deverá ser um dos pontos de atenção nos próximos meses.
“Infelizmente, ainda temos um cenário em que as proteções de acesso à nuvem não estão estabelecidas da melhor forma, enquanto os agentes hostis estão se profissionalizando para atuar dentro desses espaços. É importante que as empresas entendam o quanto que o Cross Domain é uma realidade que pode criar problemas de caráter financeiro, operacional e até reputacional”, disse Ferreira, em entrevista para a Security Report.
Gestão ampla de identidade
Apesar desse processo de ataque incluir ambientes variados na rede corporativa, o primeiro passo para esse acesso sempre envolve o comprometimento de identidades legítimas. Segundo apontou a CrowdStrike, 5 das 10 principais táticas de invasão conferidas pelo MITRE estão baseadas em identidade. Portanto, os líderes da companhia reforçam que o foco de qualquer estratégia de combate ao Cross Domain deve focar na proteção desse ativo.
“E quando falamos de identidade, é algo que precisa ir além de gerenciar credenciais, com cofres de senhas e outros recursos. Se hoje estamos falando de credenciais legítimas sendo usadas maliciosamente, o desvio de comportamento é a melhor forma de detectar esse problema. A partir disso, a resposta precisa também ser automática”, comenta Ferreira.
Adam Meyers também recomenda que as empresas ampliem o monitoramento sobre movimentações padronizadas de diversos usuários em um mesmo espaço IP, pois isso pode ser indicativo que alguma ação coordenada está em ação. Manter atenção sobre os agentes hostis mais ativos nos cenários que a empresa atua também pode dar pistas sobre os meios de ação desses cibercriminosos.
“Já temos definido que esse tipo de ataque deve permanecer correndo em 2025, especialmente por ser extremamente rentável. Hoje, há ameaças de diversas motivações buscando credenciais de access brokers vendidos na Dark Web. Portanto, a melhor recomendação, além dessas citadas, é manter-se vigilante com as informações que o threat hunting puder oferecer”, concluiu Meyers.
