Ameaças persistentes avançadas: conheça tudo sobre APT

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/APT-1500×430.jpg’ attachment=’6391′ attachment_size=’featured’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Ameaças persistentes avançadas: conheça tudo sobre APT

[/av_textblock]

[av_textblock size=” font_color=” color=”]
O Brasil é o país mais afetado por ameaças persistentes avançadas (APT) na América Latina.

A informação é de uma pesquisa da FireEye divulgada no fim do último ano.

O dado revela que as APTs deverão se tornar uma preocupação constante nas empresas nos próximos anos, especialmente nos setores de química/manufatura/mineração, serviços financeiros e energia/utilities, os três mais afetados de acordo com a pesquisa da FireEye. 

Mas afinal, o que são ameaças persistentes avançadas e por que esse tipo de ameaça é mais preocupante do que as que conhecemos como tradicionais?

A resposta está no nível de sofisticação desse tipo de ataque e nos objetivos mais claros e definidos dos hackers, que tentam atingi-lo a qualquer custo, mesmo que levem meses para burlar todas as camadas de segurança do alvo. 

O termo “ameaça persistente avançada” é usado para descrever uma campanha maliciosa em que o cibercriminoso, ou o grupo de cibercriminosos, estabelecem presença na rede durante um longo período para minar o máximo de dados altamente sensíveis.

Os alvos desses hackers são cuidadosamente escolhidos e pesquisados durante um longo período e, geralmente, se restringem a grandes empresas e órgãos governamentais, devido aos seus dados de alto valor. 

Os dados de alto valor são, inclusive, o maior diferencial de um ataque executado por APTs.

Diferente das ameaças tradicionais, em que os hackers buscam alvos para obter ganhos financeiros fáceis ou simplesmente prejudicar o negócio (como nos casos de hacktivismo), as ameaças persistentes avançadas têm um objetivo maior, que é o roubo de informações com o maior valor possível, como dados de propriedade intelectual e informações sensíveis dados de funcionários e clientes. 

Mais recursos e mais expertise 

Os responsáveis por ataques avançados contam com muito mais recursos que os cibercriminosos “comuns”.

Os hackers que usam APTs são geralmente mais experientes e contam com ferramentas mais sofisticadas – alguns são patrocinados por governos e usados como armas. 

Veja alguns aspectos que diferenciam os ataques por ameaças persistentes avançadas dos ataques comuns: 

  • São muito mais complexas 
  • Levam muito mais tempo: uma vez na rede, o invasor permanece lá o máximo de tempo possível sem ser notado para obter o máximo de informações 
  • São totalmente manuais, seja contra um alvo específico ou contra um grupo de alvos 
  • Tem como alvo toda a rede, não apenas uma parte dela 

Ataques como remote file inclusion (RFI), injeção de SQL e cross-site scripting (XSS) são alguns dos recursos usados pelos hackers para estabelecer uma relação com a rede da vítima.

Em seguida, os cibercriminosos usam trojans e backdoors para expandir sua presença e criar uma permanência persistente dentro do perímetro da vítima. 

Estágios de um ataque por ameaça persistente avançada 

Um ataque por APT consiste em três estágios: infiltração na rede, expansão da presença e extração de dados. Para que seja bem-sucedidos, não pode haver detecção em nenhum desses estágios. Confira: 

Infiltração

Os hackers se infiltram na rede comprometendo áreas como ativos web, recursos da rede ou usuários com privilégios de acesso.

Para isso, usam uploads maliciosos, por meio de ataques de injeção de SQL, por exemplo, ou técnicas de engenharia social, como spear phishing

Ao mesmo tempo, pode ser que os cibercriminosos executem também um ataque DDoS para servir de distração.

Os profissionais de segurança ficam ocupados tentando “apagar o incêndio” e fazer os sistemas voltarem a funcionar e, enquanto isso, o perímetro de segurança enfraquece, tornando a invasão mais fácil. 

Depois de entrar na rede, os cibercriminosos instalam uma backdoor, que também podem vir em forma de trojans mascarados como trechos de softwares legítimos, evitando sua detecção por ferramentas de segurança. 

Expansão

Essa etapa envolve o comprometimento de membros da equipe com acesso a informações sensíveis.

Ao fazer isso, os cibercriminosos podem obter informações críticas para o negócio, incluindo dados sobre o lançamento de produtos, informações de funcionários e registros financeiros. 

Os dados obtidos podem ser vendidos a concorrentes, alterados para sabotar a organização ou usados para prejudicar a empresa.

Os hackers podem, por exemplo, deletar bases de dados inteiras dentro da empresa e prejudicar as comunicações da rede para prolongar o processo de recuperação para causar o máximo de danos. 

Extração

Os dados roubados geralmente ficam salvos em locais seguros dentro da própria rede da vítima.

Quando coletam o máximo de dados possível, os hackers então fazem a extração sem que sejam detectados

Para isso, pode ser que, novamente, a empresa sofra um ataque DDoS para distrair a equipe de segurança e enfraquecer as defesas, facilitando a extração sem detecção. 

Tendências para os próximos meses 

Para os próximos meses, a tendência é que as ameaças avançadas se tornem cada vez mais silenciosas e destrutivas. 

Grupos conhecidos de APTs começarão a usar diferentes tipos de malwares, possivelmente criados por outros grupos de cibercriminosos, em uma tentativa dificultar investigações sobre os possíveis autores de ataques cibernéticos.

Além disso, o número de ataques de APTs deve aumentar , levando também a um rápido crescimento de soluções específicas para esse tipo de ataque no mercado. 

Os hackativistas também devem começar a preferir ataques mais persistentes e avançados e deixar de lado as atividades mais “oportunistas”.

O número de cibercriminosos que usam APTs também deve aumentar devido à maior disponibilidades de ferramentas mais sofisticadas, que deve facilitar as ações de grupos ligados a objetivos políticos. 

Com isso, podemos esperar consequências cada vez mais severas desse tipo de ataque, com ações mais destrutivas.

Além de roubar informações, os hackers poderão modificar ou corromper informações em que dados são totalmente deletados ou criptografados

Se quiser estudar mais sobre apt, confira nossa curadoria de relatórios de segurança da informação!

Casos recentes 

Recentemente, um grupo conhecido como Dukes invadiu organizações governamentais nos Estados Unidos, como ministérios e agências, por cerca de sete anos.

O grupo aparentemente tinha ligação com o governo russo, devido à mensagem de erro em russo e aos horários das atividades do grupo, que eram compatíveis com o horário comercial de Moscou. 

Esse é apenas um dos exemplos recentes que temos de ataques de ameaças persistentes avançadas. Veja outros: 

Target 

Em 2013, a varejista americana Target foi vítima de um ataque de APT que roubou uma série de números de cartões de crédito de clientes.

No último trimestre deste ano, a empresa teve uma queda de 50% nas vendas e, entre 5% e 10% dos clientes disseram que nunca mais comprariam algo da loja. 

Escritório de gestão pessoal (OPM) dos Estados Unidos 

Em 2015, hackers atacaram o escritório de gestão pessoal (em inglês, office of personnel management – OPM) dos Estados Unidos e obtiveram uma série de informações sensíveis sobre funcionários.

Foram mais de 21 milhões de registros comprometidos. 

Ranking de países mais atingidos por ameaças persistentes avançadas na América Latina 

  1. Brasil 
  2. Chile 
  3. México 
  4. Peru 
  5. Argentina 

*Fonte: FireEye, 2015 

Ranking de setores mais atingidos por ameaças persistentes avançadas: 

  1. Química/Manufatura/Mineração 
  2. Serviços financeiros 
  3. Energia/utilities 
  4. Governo federal 
  5. Varejo 
  6. Saúde/farmacêutico 
  7. Serviços/consultoria 
  8. Telecomunicação 
  9. Aeroespacial/defesa 
  10. Entretenimento/mídia/hospedagem 

*Fonte: FireEye, 2015 

Gostou do nosso material?

Que tal conferir alguns dos nossos outros eBooks? 😉
[/av_textblock]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO-300×210.jpg’ attachment=’6450′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

RANSOMWARE

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/CIBERCRIME-E-AS-FRAUDES-FINANCEIRAS-NAS-EMPRESAS-1-300×210.png’ attachment=’6470′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/crimecrime-fraudes-financeiras’ target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CIBERCRIME

[/av_textblock]
[/av_one_half]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

Que tal dar uma olhada no nosso blog?

[/av_textblock]

[av_blog blog_type=’taxonomy’ link=’category,35′ blog_style=’blog-grid’ columns=’3′ contents=’title’ content_length=’content’ preview_mode=’custom’ image_size=’entry_with_sidebar’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]