Quase um terço (30%) dos ciberataques investigados pela equipe global de Resposta a Incidentes da Kaspersky, em 2019, utilizaram ferramentas legítimas de administração e gerenciamento remoto. Desta forma, os cibercriminosos conseguiram se manter escondidos por mais tempo, espionando ou realizando roubo de dados confidenciais durante 122 dias, em média, de acordo com a recente Análise de Resposta a Incidentes da Kaspersky.
Softwares de monitoramento e gerenciamento remoto ajudam as equipes de rede e de TI nas tarefas diárias, como a solução de problemas e suporte técnico a funcionários. No entanto, essas ferramentas legítimas também podem ser exploradas em ciberataques. Uma vez dentro do sistema, os criminosos usam esses programas nativos para acessar e extrair informações sigilosas, sem serem percebidos pelos controles de segurança voltados à detecção de malware.
A análise de dados anônimos de casos de Resposta a Incidentes (IR, sigla em inglês) mostrou que 18 ferramentas legítimas foram usadas indevidamente para fins maliciosos. Dentre elas, a mais comuns é o PowerShell, que apareceu em 25% dos casos e pode ser usada para vários fins, da coleta de informações à execução de malware. Em segundo lugar aparece o PsExec , aplicativo de console que se destina à execução de processos em endpoints remotos, utilizado em 22% dos ataques. Em seguida está o SoftPerfect Network Scanner , destinado à recuperação de informações sobre ambientes de rede, com 14% dos casos de uso.
A execução de ataques por meio de ferramentas legítimas dificulta a detecção de ameaças pelas soluções de segurança, pois as ações relacionadas podem tanto ser parte de um cibercrime quanto uma tarefa normal do administrador do sistema. Exemplo disso é que, no segmento de ataques que duraram mais de um mês, o tempo médio dos incidentes foi de 122 dias. Como eles não eram detectados, os cibercriminosos podiam coletar dados sigilosos das vítimas.
Porém, os especialistas da Kaspersky observam que, em alguns casos, as ações maliciosas aparecem rapidamente, como nos ataques de ransomware, nos quais os danos são percebidos imediatamente. Nesses casos, o tempo médio de duração do incidente foi de um dia.
“Para evitar serem detectados e assim ficarem invisíveis em uma rede comprometida por mais tempo, os cibercriminosos usam amplamente softwares já existentes para realizar tarefas de administração e diagnóstico do sistema. Com elas, é possível coletar informações sobre as redes corporativas e então realizar movimentos laterais, alterando as configurações de software e hardware ou até executar alguma ação maliciosa. Podem, por exemplo, usar um software legítimo para criptografar dados de clientes ou passarem desapercebidos pelos analistas de segurança, pois muitas vezes detectam os ataques somente depois que ocorrem os danos. Por vários motivos, não é possível eliminar essas ferramentas, mas registros em log implementados corretamente e sistemas de monitoramento ajudam a detectar atividades suspeitas na rede e ataques complexos nos estágios iniciais”, comenta Konstantin Sapronov, chefe da Equipe Global de Resposta a Incidentes da Kaspersky .
Para detectar e reagir a esses ataques rapidamente, as organizações devem, entre outras medidas, implementar uma solução de detecção e resposta (ERD) nos endpoints com um serviço de gerenciamento de detecção e resposta (MDR – Managed Detection and Response). A MITRE ATT&CK ® Round 2 Evaluation – que avalia diversas soluções, incluindo o Kaspersky EDR e o serviço de proteção gerenciada da Kaspersky – pode apoiar na escolha da solução EDR mais adequada às necessidades da empresa. Os resultados da ATT&CK Evaluation comprovam a importância de adoção desta solução, que associa um produto com várias camadas de segurança a um controle manual de ameaças.
Para minimizar os riscos de que um software de gerenciamento remoto seja usado para o cibercrime, a Kaspersky também recomenda:
• Limite o acesso de endereços IP externos a ferramentas de gestão remota e garanta que um número limitado de dispositivos tenha acesso às interfaces de controle remoto.
• Imponha uma política rígida de senhas para todos os sistemas de TI e implemente a autenticação de múltiplos fatores.
• Ofereça privilégios limitados às equipes e forneça contas com muitos privilégios apenas às pessoas que precisam delas para realizar seu trabalho.