Cibercriminosos usam ferramentas legítimas em 30% dos ataques bem-sucedidos

Estudo revela que 18 programas foram usados indevidamente para fins maliciosos em 2019. Dentre eles se destacam: Powershell, PsExec e SoftPerfect Network Scanner

Compartilhar:

Quase um terço (30%) dos ciberataques investigados pela equipe global de Resposta a Incidentes da Kaspersky, em 2019, utilizaram ferramentas legítimas de administração e gerenciamento remoto. Desta forma, os cibercriminosos conseguiram se manter escondidos por mais tempo, espionando ou realizando roubo de dados confidenciais durante 122 dias, em média, de acordo com a recente Análise de Resposta a Incidentes da Kaspersky.

 

Softwares de monitoramento e gerenciamento remoto ajudam as equipes de rede e de TI nas tarefas diárias, como a solução de problemas e suporte técnico a funcionários. No entanto, essas ferramentas legítimas também podem ser exploradas em ciberataques. Uma vez dentro do sistema, os criminosos usam esses programas nativos para acessar e extrair informações sigilosas, sem serem percebidos pelos controles de segurança voltados à detecção de malware.

 

A análise de dados anônimos de casos de Resposta a Incidentes (IR, sigla em inglês) mostrou que 18 ferramentas legítimas foram usadas indevidamente para fins maliciosos. Dentre elas, a mais comuns é o PowerShell, que apareceu em 25% dos casos e pode ser usada para vários fins, da coleta de informações à execução de malware. Em segundo lugar aparece o PsExec , aplicativo de console que se destina à execução de processos em endpoints remotos, utilizado em 22% dos ataques. Em seguida está o SoftPerfect Network Scanner , destinado à recuperação de informações sobre ambientes de rede, com 14% dos casos de uso.

 

A execução de ataques por meio de ferramentas legítimas dificulta a detecção de ameaças pelas soluções de segurança, pois as ações relacionadas podem tanto ser parte de um cibercrime quanto uma tarefa normal do administrador do sistema. Exemplo disso é que, no segmento de ataques que duraram mais de um mês, o tempo médio dos incidentes foi de 122 dias. Como eles não eram detectados, os cibercriminosos podiam coletar dados sigilosos das vítimas.

 

Porém, os especialistas da Kaspersky observam que, em alguns casos, as ações maliciosas aparecem rapidamente, como nos ataques de ransomware, nos quais os danos são percebidos imediatamente. Nesses casos, o tempo médio de duração do incidente foi de um dia.

 

“Para evitar serem detectados e assim ficarem invisíveis em uma rede comprometida por mais tempo, os cibercriminosos usam amplamente softwares já existentes para realizar tarefas de administração e diagnóstico do sistema. Com elas, é possível coletar informações sobre as redes corporativas e então realizar movimentos laterais, alterando as configurações de software e hardware ou até executar alguma ação maliciosa. Podem, por exemplo, usar um software legítimo para criptografar dados de clientes ou passarem desapercebidos pelos analistas de segurança, pois muitas vezes detectam os ataques somente depois que ocorrem os danos. Por vários motivos, não é possível eliminar essas ferramentas, mas registros em log implementados corretamente e sistemas de monitoramento ajudam a detectar atividades suspeitas na rede e ataques complexos nos estágios iniciais”, comenta Konstantin Sapronov, chefe da Equipe Global de Resposta a Incidentes da Kaspersky .

 

Para detectar e reagir a esses ataques rapidamente, as organizações devem, entre outras medidas, implementar uma solução de detecção e resposta (ERD) nos endpoints com um serviço de gerenciamento de detecção e resposta (MDR – Managed Detection and Response). A MITRE ATT&CK ® Round 2 Evaluation – que avalia diversas soluções, incluindo o Kaspersky EDR e o serviço de proteção gerenciada da Kaspersky – pode apoiar na escolha da solução EDR mais adequada às necessidades da empresa. Os resultados da ATT&CK Evaluation comprovam a importância de adoção desta solução, que associa um produto com várias camadas de segurança a um controle manual de ameaças.

 

Para minimizar os riscos de que um software de gerenciamento remoto seja usado para o cibercrime, a Kaspersky também recomenda:

 

•  Limite o acesso de endereços IP externos a ferramentas de gestão remota e garanta que um número limitado de dispositivos tenha acesso às interfaces de controle remoto.

• Imponha uma política rígida de senhas para todos os sistemas de TI e implemente a autenticação de múltiplos fatores.

• Ofereça privilégios limitados às equipes e forneça contas com muitos privilégios apenas às pessoas que precisam delas para realizar seu trabalho.

Conteúdos Relacionados

Security Report | Uncategorized

Estudo alerta para aumento dos golpes cibernéticos no turismo durante as férias

Black Friday e a alta temporada de verão costumam fazer vítimas que buscam boas oportunidades para viajar
Security Report | Uncategorized

Mês da Cibersegurança: Indústria visa estabelecer novos padrões de SI na sociedade

Para a Segurança da Informação, o mês de outubro representa o reforço de que esta é uma missão de alto...
Security Report | Uncategorized

61% das empresas no mundo sofreram incidentes de SI em nuvem pública, aponta estudo

Especialistas da Check Point Software destacam o crescente déficit de habilidades em segurança na nuvem e seu impacto na defesa...
Security Report | Uncategorized

Febraban alerta para golpes na ajuda para vítimas das chuvas do Rio Grande do Sul

Doador deve checar detalhadamente dados de transações de Pix antes de concluir a transferência ...