De acordo com a equipe OverWatch, da Crowdstrike, que monitora atividades em massa de grupos cibercriminosos, 78% das organizações estão preocupadas com ataques do tipo Fileless Malware e 83% dos profissionais de segurança querem mais informações sobre essa investida do cibercrime.
Nesta modalidade de ataque, que que não executa arquivo e usa ferramentas nativas legítimas incorporadas a um sistema para efetuar um ciberataque, o criminosos obtém acesso remoto ao sistema da vítima e rouba credenciais para o ambiente que ele comprometeu, permitindo movimentos para outros sistemas. Uma vez infiltrado, o atacante implanta um backdoor que lhe permitirá retornar a este ambiente sem ter que repetir os passos iniciais do ataque.
Na etapa seguinte, o invasor reúne os dados que deseja e os prepara para exfiltração, copiando o que deseja, compactando e removendo dados dos sistemas das vítimas. O passo seguinte, em muitos casos, pode acabar com pedido de extorsão e pegamento de resgate.
O cenário é preocupante. E mesmo com uma modalidade antiga, o cibercrime segue tirando o sono dos CISOs. Na visão de Ulysses Machado, Assessor da Diretoria para LGPD no Serpro, o Fileless Malware é uma espécie de dor na Segurança da Informação, que ganhou um novo ciclo e está desafiando as equipes de resposta a incidente.
“No mundo da SI, existe sempre uma renovação de antigos ataques, eles sempre voltam com nova roupagem, mais sofisticados e intensos. Essa modalidade, em especial, desafia as equipes forenses na investigação do que aconteceu, pois eles usam a estrutura existente na organização, dificultando a detecção e deixando pouco vestígio”, explica o executivo do Serpro durante debate promovido pela TVD.
Segundo Machado, as equipes de resposta a incidentes precisam agir proativamente diante do Fileless Malware, atuando com inteligência e correlacionamento de eventos, com equipes que vasculhem dark e deep web. “É preciso sentir o cheiro do ataque para atuar de forma proativa”, completa.
Márcia Tosta, Gerente Executiva de Segurança da Informação da Petrobras destaca que é necessário redobrar a atenção na segurança das credenciais de acesso, já que é uma excelente porta de estrada para possíveis ataques. Segundo Márcia, em muitos casos, os incidentes são bem-sucedidos quando exploram alguma vulnerabilidade ou má gerenciamento das credenciais.
“Essa gestão é muito importante. Toda a equipe de identidade precisa estar muito preocupada com esse tema, revisando as políticas inúmeras vezes. Além disso, é preciso olhar para o comportamento das máquinas dos usuários, se os perfis estão corretamente desenhados e se a credencial tem o duplo fator de autenticação para evitar uma possível porta de entrada”, alerta executiva da Petrobras.
Para Clayton Soares, Gerente Executivo de Governança de TI e SI da Pague Menos, esse tipo de ataque vem crescendo cada vez mais, exigindo da SI novas estratégias de mitigação, além de contar com inteligência e visibilidade.
“Ele compromete aplicativos que estão rodando no ambiente. Diante disso, as ferramentas de detecção precisam de inteligência capaz de identificar um comportamento malicioso, inclusive com módulos de inteligência artificial, algo que identifique esses comportamentos”, diz.
Ele reforça que além de controlar as credenciais e contar com inteligência na detecção, é preciso falar de educação do usuário, principalmente aqueles com acesso privilegiado. “Esse tipo de ataque exige, de fato, uma renovação na forma como atuamos, é preciso contar com estratégias diferenciadas para mitigar”, completa Soares.
De acordo com os especialistas presentes no painel, é importante sempre olhar para a identidade do usuário e o comportamento da máquina do colaborador. O debate completo dessa discussão está disponível no canal da TVD no YouTube. Além de outros tópicos debatidos, vários insights foram gerados entre os debatedores.
