Os Exploit Kits se tornaram o principal framework utilizado pelos ciberatacantes devido à sua fácil operação e alta rentabilidade. Entre as suas principais habilidades, destacam-se: a exploração de vulnerabilidades conhecidas e desconhecidas em softwares de navegação Web bem como capacidades evasivas para evitar sua descoberta e filtragem de endereços IP, que redirecionam o tráfego da vítima.
Atualmente, é a principal ferramenta para disseminação de Ransomware – que apresenta vertiginoso crescimento nos últimos meses. Isso por que não requer expertise e são consideradas práticas plataformas de ataque. Os Exploit Kits já se mostram codificados e prontos para o uso, além de serem munidos por um painel de gerenciamento, pelo qual o atacante realiza as alterações necessárias e viabiliza o acesso.
No momento em que adquire a tecnologia, o ciberatacante pode escolher se irá comprar a plataforma ou locá-la – o que é conhecido como Exploit As a Service. Este atacante recebe suporte técnico, caso não saiba como manusear a ferramenta ou precise de configurações mais avançadas. Há também opção de escolha sobre o tipo de malware que será entregue: trojans bancários, InfoStealers, Ransomwares, e até ferramentas de Acesso Remoto (RAT, sigla em inglês).
Os números do ataque
Conhecido como Crime As a Service, os ataques realizados a partir de Exploit Kits costumam ser alugados. De acordo com uma pesquisa do InfoSec Institute, comprar a plataforma pode custar entre US$ 20 e US$ 30 mil. Por isso, alugá-la por US$ 500 ao mês, tem sido uma prática recorrente dada à acessibilidade.
Em um período de 24h, cerca de 9 mil Exploits são entregues – uma média de 90 mil novos alvos entre campanhas de spams, servidores comprometidos e malvertising, ao dia. 40% deles conseguem, com sucesso, infectar as máquinas e, em mais de 60% dos casos, elas são invadidas com Ransomwares, como TeslaCrypt, Locky e SamSa Ransomware.
Visto que o ransomware possibilita a extorsão cibernética em troca de ganhos financeiros, em alguns casos de invasão, o resgate acaba efetivamente pago pela vítima, sem garantias de que seu ambiente operativo será devolvido.
Quais são os desafios e as soluções?
Por ser uma estrutura complexa de ataque, ferramentas dotadas de indicadores conhecidos em Endpoint ou de detecção retroativa em Sandboxes, que apenas enviam artefatos desconhecidos à nuvem e são atualizados em determinados períodos, não são recomendadas – uma vez que são técnicas demasiadamente lentas para proteção em cenário real, e a verdadeira detecção requer reconhecimento das técnicas de Exploits no momento em que acontecem.
Para acompanhar as inovações dos atacantes, que ora alteram os códigos e ora melhoram as técnicas evasivas, é preciso utilizar uma plataforma completa de soluções e serviços com a função de erradicar os riscos deste ambiente – agregando proteção em tempo-real e replay de tráfego da conexão maliciosa, com registro do redirecionamento dos envolvidos, tentativas de evasão e análise de payloads.
Esta proteção proveniente do relacionamento entre os vetores de entrada em um único console permite uma análise contextualizada, a qual é atribuída à inteligência contra ataques em tempo real e que ajuda a responder: quem é o atacante? Como acessou o ambiente? Quais sistemas foram comprometidos? Ainda está logado?
É recomendado adotar os seguintes passos para proteger o ambiente de sua empresa: ter uma política de updates de patches em seu ambiente; manter atualizadas ferramentas de proteção em Endpoints (Endpoint Prevention Plataform – EPP), como Antivírus e Host IPS; correlacionar eventos dos mais diversos vetores, que reflitam cenários de ataque; e desenvolver um plano de resposta a incidentes, pois deve-se ter em mente quando vai acontecer e não se vai acontecer.