A instalação e o uso de Backdoors em favor do Cibercrime está em ascensão no mercado. É o que aponta nova pesquisa desenvolvida pelo laboratório de pesquisa da IBM, X-Force Incident Response. Segundo o estudo “Security Threat Intelligence”, a instalação de Backdoors foi uma atividade criminosa comum em 2022, representando 21% de todos os incidentes reportados pela força-tarefa. Essa taxa foi superior ao ransomware (17%) e ao Comprometimento de E-mails Corporativos (6%).
De acordo com Roberto Engler, Líder de Segurança da IBM Brasil, o aumento do uso dos Backdoors deve-se à quantidade de dinheiro gerado por esse tipo de acesso na Dark Web. Uma intrusão na rede corporativa comprometida, a partir de um broker de ingresso inicial, quase sempre é vendido por vários milhares de dólares.
Essas entradas são procuradas por agentes maliciosos que visam obter lucro rápido, pois evitam problemas com a manutenção enquanto se movem lateralmente e exfiltram dados de alto valor. Eles buscam vias de entrada mais simples na clandestinidade por não terem os malwares necessários para acessarem por conta própria.
“O X-Force tem visto leilões de ingresso inicial na Dark Web variando de US$5 mil a US$10 mil. Outros grupos têm reportado inserções vendidas por U$2 mil a U$4 mil, mas tendo alcançado até U$50 mil. Isso quando comparado a outros ativos comprometidos, como cartões de crédito, que podem ser encontrados abaixo de U$10, mostra um apelo muito forte dos Backdoors”, explicou Engler.
Ainda de acordo com a pesquisa, nos casos de aplicação do Backdoor classificados como uma ação final, sobra a possibilidade de o agente hostil ter planos adicionais. Esta atividade maliciosa desconhecida poderia incluir malwares nocivos e pedidos de resgates, pois cerca de dois terços dos casos de Backdoors criminosos carregam marcas desses movimentos.
“Tipicamente, um Backdoor é o precursor de outros ataques, demonstrando os planos secundários do atacante, como executar criptografias com Ransomware, vazamento de dados ou venda de acesso a sistemas comprometidos na Dark Web”.
A X-Force também citou outros dois motivos para o fenômeno. Primeiro, devido ao crescimento de Emotet em fevereiro e março do ano passado, sendo a ferramenta de implementação de 47% dos casos de Backdoors. E segundo, por conta do ostensivo uso da técnica em operações de ciberguerra russas contra instalações e infraestruturas ucranianas.
“Avaliamos que as ameaças mais significativas incluem o retorno do hacktivismo e do malware de limpeza, bem como mudanças importantes no mundo do cibercrime. A maioria dessas operações vitimou entidades centradas na Ucrânia, Rússia e países vizinhos, mas algumas também se espalharam para outras áreas” informou o Líder de SI.
Métodos e boas práticas
Apesar desse alerta, a pesquisa da IBM informa que os processos conhecidos de defesa de infraestruturas não devem mudar, mas serem vistos pela ótica do próprio atacante. Com isso, é de grande valor às equipes de Cyber Security formar levantamentos dos agentes mais perigosos para a companhia e o setor, estabelecer visibilidade sobre os departamentos mais arriscados e aplicar conceitos de Threat Intelligence em todo o sistema.
“Detectar um Backdoor tem o lado positivo de permitir agir antes de um ataque mais complexo e destrutivo, mas, para isso, é fundamental saber o que nós temos, contra quem estamos defendendo e quais são os dados críticos para o negócio. Priorizando a descoberta de ativos no perímetro, entendendo a exposição a ataques e reduzindo a superfície exposta”, conclui Engler.
