Você sabe o que é Cyber Kill Chain?

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full id=’8491′][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

Você sabe o que é Cyber Kill Chain?

Para entender o o que é Cyber Kill Chain, seu conceito e como aplicá-lo ao dia-a-dia da operação, é necessário entender como está o cenário de ameaças cibernéticas. Entendendo o cenário e fazendo a análise da ameaça, é possível remediar danos e em alguns casos, quando a ameaça é identificada em um firewall, por exemplo, impedir sua atuação.

Em 2016 de acordo com o FBI, a indústria do ransomware realizou mais de quatro mil ataques por dia, faturando – ou custando às empresas – mais de um bilhão de dólares. Até setembro de 2016, 18 milhões de novos malwares foram capturados.

Nesse artigo, vamos falar sobre o conceito de kill chain, e para explicarmos esse tema, o conceito de ransomware será muito abordado. Sendo assim, se você não está tão familiarizado com o conceito de ransomware e quer entender um pouco mais sobre essa ameaça, consulte nosso artigo clicando aqui.

Você deve estar se perguntando: como é possível que as ameaças continuem sendo tão bem-sucedidas em seus propósitos apesar de tantos investimentos em tecnologias de ponta e tanta preocupação dos líderes de TI em proteger seu ambiente?

Uma das principais razões para isso são as APT – ameaças persistentes avançadas. Essas ameaças exigem mais planejamento e investimento dos hackers para burlar as diversas camadas de segurança do alvo e por isso são tão avançadas e difíceis de serem percebidas e tratadas.

O outro motivo é que as defesas cibernéticas continuam focando seus esforços em prevenção e perímetro. E quando a defesa do ambiente está focada em perímetro, concentrando-se nos ativos mais vulneráveis, o atacante só precisa ser bem-sucedido uma única vez, pois uma vez que ele passou pela borda e conseguiu acesso à rede alvo, ele estará livre para realizar suas ações maliciosas movimentando-se lateralmente.

Estar prevenido contra ameaças é importante, mas com a mudança no cenário de ameaças e a evolução delas, a prevenção não pode mais ser tratada como única forma de defesa. A defesa precisa estar em todas as camadas da rede e do computador, não somente no perímetro.

E é exatamente por isso, que a abordagem de Cyber Kill Chain é um aliado nessa necessidade. Já que é um modelo de inteligência com foco em defesa para identificação e prevenção de ciberataques.

Entendendo melhor: cenário fictício

Em uma rede de computadores focada em prevenção e perímetro, uma ameaça ou APT conseguiu passar da prevenção e chegar até o computador do presidente da empresa, que tem informações valiosíssimas e confidenciais.

Esse caso foi percebido pelo analista de firewall, que estava olhando os logs brutos da ferramenta e percebeu uma comunicação suspeita originária do IP do computador do presidente.

Neste cenário, significa que o ataque foi realizado com sucesso?

Resposta: não necessariamente. Para saber se o ataque foi bem-sucedido, são necessárias mais informações e a compreensão do objetivo daquela ameaça. Afinal, se você não sabe a intenção da ameaça, ou seja, o que ela queria realizar com o ataque, nunca vai saber se ela concluiu os objetivos.

E, para entender o objetivo da ameaça, é preciso entender o que é Cyber Kill Chain.

O que é Cyber Kill Chain?

Em 2011, os analistas da empresa Lockheed Martin, fabricante de produtos aeroespaciais, criaram o Cyber Kill Chain ™ para ajudar o processo de tomada de decisão para melhor detecção e resposta a intrusões.

O nome Kill Chain se dá porque uma vez que um elo da corrente é quebrado, é possível que todo o ataque tenha sido interrompido.

Os estágios de um ataque:

1.      Reconnaissance (Reconhecimento):

Durante o estágio de reconhecimento, o ator da ameaça realiza pesquisas sobre o alvo. Esta pesquisa pode ser feita de várias maneiras, como visualização do alvo em sites públicos, seguindo funcionários da empresa, coletando informações técnicas como IP públicos e servidores web, por exemplo.

O LinkedIn e outros sites de redes sociais facilitam a reunião de informações sobre o alvo e colaboradores. Na maior parte das vezes, o foco fica naqueles que tem cargos que possuem maiores privilégios dentro do sistema da organização, como os analistas de TI de cargos mais altos.

2.      Weaponization (Armação)

Quando o alvo é identificado e estudado, os atacantes começam a desenvolver seus ataques e as ferramentas que serão utilizadas. Podem tanto ser ferramentas criadas e desenvolvidas por eles mesmo quanto ferramentas compradas na deep web.

Essas ferramentas podem explorar vulnerabilidades de sistemas que sejam publicamente conhecidas ou não.

3.      Deliver & Exploit & Install (Entrega & Exploração & Instalação)

A etapa de entrega é quando o atacante vai enviar o seu programa malicioso para o alvo. A forma mais utilizada costuma ser o spear-phishing, que é um vetor de ataque direcionado, ou seja, com alvos bem determinados.

A etapa de Exploit é quando o atacante explora alguma vulnerabilidade, seja ela já conhecida ou não. As vulnerabilidades que não são publicamente conhecidas são conhecidas como zero-day.

A etapa de Install é a instalação de um RAT (remote access trojan) ou backdoor no sistema alvo que permite ao atacante ter controle sobre o sistema infectado.

4.      Command & Control (Comando e Controle)

Para que uma ameaça seja considerada uma AT, ou seja, persistente e avançada, vai precisar existir uma comunicação entre a ameaça e o atacante que a enviou. Chamamos essa comunicação de Command & Control.

Logo, quando a ameaça não tem essa comunicação, ela não é considerada persistente, e portanto não é mais uma APT, mas ainda assim pode ser uma ameaça avançada, como por exemplo o famoso caso do Stuxnet, que foi considerado um APT, mas na verdade é apenas um AT (advanced threat). Entenda o caso a partir do artigo do SANS.

5.      Actions on Objectives (Ações no Objetivo)

Somente depois de passar por todas as etapas anteriores, o atacante poderá realizar seu objetivo, que pode ser roubo de informações confidenciais, criptografia de dados (com um ransomware, por exemplo), destruição do sistema ou somente entrar no sistema daquela vítima como mais uma etapa para se mover lateralmente pela rede para infectar outro sistema e concluir um objetivo maior.

A Matriz de Curso de Ação:

A matriz de curso de ação é uma matriz que mostra, de acordo com o estágio da Cyber Kill Chain, quais ferramentas podem ser usadas para superar as fases, em cima de objetivos.

Os objetivos são: detectar, negar, interromper, degradar, enganar e destruir, conforme mostrado na imagem abaixo:

Essa matriz é importante pois é uma inteligência em que os analistas podem se basear para alinhar com as capacidades defensivas já existentes na empresa. E isso também ajuda a planejar roteiros para investir em lacunas que a matriz acima possa deixar, como a falta de um filtro de e-mail, por exemplo.

É importante mencionar que essa matriz foi retirada de um documento da Lockheed Martin, feito em 2005, ou seja, há mais de 10 anos. Muitas das ferramentas mencionadas são utilizadas até hoje, porém a maioria já está trabalhando de forma diferente, agregando inteligência ao trabalho. Como o Antivírus (AV), mencionado na linha Installation, coluna Disrupt, que foi substituído pelo Next Generation Antivírus.

Inclusive, se você quiser mais informações a respeito de antivírus, a PROOF produziu uma série de conteúdos sobre a temática, basta clicar em alguns dos links abaixo:

Vamos explorar esse assunto (lacunas da matriz de curso de ação) um pouco mais a frente.  Agora, para entender melhor a Cyber Kill Chain e como quebrá-la, vamos estudar um caso real.

O Cenário Real

Em março de 2011, aproximadamente um mês depois de hospedar a maior conferência de segurança cibernética do mundo – a RSA Conference, a RSA (a divisão de segurança da EMC) anunciou publicamente que foi vítima de um ataque APT bem-sucedido.

De acordo com a própria RSA, que, inclusive, emitiu uma carta aberta para seus clientes,  um hacker enviou e-mails de phishing para alguns funcionários da RSA contendo um exploit zero day dentro de um arquivo Excel que explorava uma vulnerabilidade no Adobe Flash (CVE-02011-0609).

A empresa deu poucos detalhes técnicos sobre o ataque que sofreu, limitando-se a informar que a mensagem havia sido “forjada bem o suficiente para convencer um funcionário a retirá-la da pasta de spam e abrir o arquivo Excel anexado”. Um relatório técnico que foi publicado tempos depois mostra, no entanto, que o anexo do e-mail se chamava 2011 Recruitment Plan e que ele estava no formato Excel.

O ataque usou uma variante do malware chamado Poison Ivy, que na época era um trojan de acesso remoto (RAT) amplamente disponível e, além de ter capacidades de RAT (comunicar-se com um servidor de Comando & Controle para envio de informações e coleta de instruções), o Poison Ivy também conseguia evadir a detecção por ferramentas de Antivírus, na época.

O pesquisador Timo Hirvonen pode ter descoberto a mensagem que iniciou o ataque, de acordo com o título do e-mail, citado pelo executivo da RSA, entretanto a RSA não confirmou a autenticidade do e-mail.

A RSA assumiu que houve um vazamento de dados relacionado ao token SecurID, usado por fabricantes de armas e segurança para o exército norte-americano, como a Lockheed Martin, que fabrica os caças 22.

Pouco depois da violação da RSA, várias empresas de defesa, incluindo Lockheed Martin, revelaram que sofreram ataques cibernéticos em suas redes.

Meses depois, A Lockheed Martin, confirmou que o ataque sofrido pela empresa teve como ponto de partida a invasão sofrida pela companhia de segurança RSA.

Colocando o exemplo no Cyber Kill Chain

Colocando as etapas do ataque no Cyber Kill Chain, temos o seguinte cenário:

Relembrando a Matriz de Curso de Ações, mencionada anteriormente, será que alguma daquelas ferramentas poderia cessar/interromper o ataque?

Este incidente com a RSA mostra que, mesmo as empresas mais conscientes de segurança da informação podem ter fraquezas em sua postura de segurança. Podemos então usar a máxima de que não é mais SE um incidente de segurança vai acontecer, é QUANDO.

Porém, a RSA ainda está nos negócios até hoje e continua sendo uma referência em cibersegurança. Isso se deve a sua rápida identificação e resposta ao incidente mencionado, que foi decisivo para minimizar as consequências para os clientes.

Lição aprendida: “Estamos diante de um incêndio que se aproxima. Você não conseguirá impedir o fogo, mas terá a oportunidade de controlá-lo” Claudio Neiva, VP de Pesquisas do Gartner

Como realmente quebrar a corrente?

Resposta: aplicando a arquitetura de segurança adaptativa.

Arquitetura de Segurança Adaptativa Contínua (CARTA)

CARTA (Continuous Adaptative Risk and Trust Assessment) é uma estratégia que amplia a capacidade dos profissionais de diversas áreas de entenderem o que é risco.”  Claudio Neiva, VP de Pesquisas do Gartner

Se a questão agora é quando um incidente de segurança vai acontecer, a preocupação é como detectar e responder ao incidente. Por isso algumas abordagens já partem da premissa que os sistemas estão comprometidos e exigem monitoramento contínuo, com mecanismos de resposta automática e imediata, visando conter ameaças ativas e neutralizar potenciais vetores de ataque, como a CARTA.

A CARTA é composta por 4 pilares. São eles

Capacidade preventiva

Este é o conjunto de políticas, ferramentas e processos que visam prevenir a ocorrência de ataques bem-sucedidos. Como mencionado no início deste artigo, a prevenção ainda é importante, mas não será o foco único a partir de agora.

Capacidades de detecção

São os controles planejados para identificar ataques que obtiveram sucesso nas medidas preventivas. Atualmente, isso vai além do simples correlacionamento de eventos (dadas por ferramentas SIEM – Security Information and Event Management), que agora precisam incorporar algoritmos de Data Analytics, detecção de padrões de comportamentos, machine learning, capacidades cognitivas, etc .

Capacidades de resposta

A forma como a equipe vai responder àquela ameaça – seja ela automática ou não. Aqui é realizado o ciclo de resposta à incidentes que vai permitir investigar e remediar o incidente encontrado.

Capacidades preditivas

São as capacidades de prever ataques e analisar tendências. Como o panorama de ameaças é dinâmico e evolui de forma rápida, é fundamental uma combinação eficaz das técnicas de detecção avançadas apontadas acima com uma sofisticada rede de Inteligência de Ameaças Cibernéticas – que agregue inteligência específica do setor da economia, fornecidas por fabricantes, identificadas por provedores globais de serviços de monitoramento de segurança.

E quando falamos de Inteligência de Ameaças Cibernéticas, estamos falando de

CTI – Cyber Threat Intelligence

A inteligência de ameaça cibernética, ou CTI, é o que a informação de ameaça cibernética se torna, uma vez que foi coletada, avaliada no contexto de sua fonte e confiabilidade e analisada através de técnicas estruturadas.

A coleta, classificação e exploração do conhecimento sobre adversários é usada para reduzir a probabilidade de sucesso do adversário com cada tentativa subseqüente de intrusão. E utilizando essa inteligência dentro da Cyber Kill Chain, é possível analisar padrões e identificar quando um atacante que já tentou atacar anteriormente e está tentando de novo.
[/av_textblock]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_team_member name=’Natasha Cunha’ job=’Cyber Security Intelligence Analyst ‘ src=’http://www.proof.com.br/wp-content/uploads/2017/10/NATASHA2.png’ attachment=’9525′ attachment_size=’full’ description=” font_color=” custom_title=” custom_content=”]
[av_team_icon title=’Perfil no LinkedIn’ link=’https://www.linkedin.com/in/natasha-cunha-287186aa/’ link_target=’_blank’ icon=’ue8fd’ font=’entypo-fontello’]

[/av_team_member]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Ameaças persistentes avançadas: conheça tudo sobre APT

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/APT-1500×430.jpg’ attachment=’6391′ attachment_size=’featured’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Ameaças persistentes avançadas: conheça tudo sobre APT

[/av_textblock]

[av_textblock size=” font_color=” color=”]
O Brasil é o país mais afetado por ameaças persistentes avançadas (APT) na América Latina.

A informação é de uma pesquisa da FireEye divulgada no fim do último ano.

O dado revela que as APTs deverão se tornar uma preocupação constante nas empresas nos próximos anos, especialmente nos setores de química/manufatura/mineração, serviços financeiros e energia/utilities, os três mais afetados de acordo com a pesquisa da FireEye. 

Mas afinal, o que são ameaças persistentes avançadas e por que esse tipo de ameaça é mais preocupante do que as que conhecemos como tradicionais?

A resposta está no nível de sofisticação desse tipo de ataque e nos objetivos mais claros e definidos dos hackers, que tentam atingi-lo a qualquer custo, mesmo que levem meses para burlar todas as camadas de segurança do alvo. 

O termo “ameaça persistente avançada” é usado para descrever uma campanha maliciosa em que o cibercriminoso, ou o grupo de cibercriminosos, estabelecem presença na rede durante um longo período para minar o máximo de dados altamente sensíveis.

Os alvos desses hackers são cuidadosamente escolhidos e pesquisados durante um longo período e, geralmente, se restringem a grandes empresas e órgãos governamentais, devido aos seus dados de alto valor. 

Os dados de alto valor são, inclusive, o maior diferencial de um ataque executado por APTs.

Diferente das ameaças tradicionais, em que os hackers buscam alvos para obter ganhos financeiros fáceis ou simplesmente prejudicar o negócio (como nos casos de hacktivismo), as ameaças persistentes avançadas têm um objetivo maior, que é o roubo de informações com o maior valor possível, como dados de propriedade intelectual e informações sensíveis dados de funcionários e clientes. 

Mais recursos e mais expertise 

Os responsáveis por ataques avançados contam com muito mais recursos que os cibercriminosos “comuns”.

Os hackers que usam APTs são geralmente mais experientes e contam com ferramentas mais sofisticadas – alguns são patrocinados por governos e usados como armas. 

Veja alguns aspectos que diferenciam os ataques por ameaças persistentes avançadas dos ataques comuns: 

  • São muito mais complexas 
  • Levam muito mais tempo: uma vez na rede, o invasor permanece lá o máximo de tempo possível sem ser notado para obter o máximo de informações 
  • São totalmente manuais, seja contra um alvo específico ou contra um grupo de alvos 
  • Tem como alvo toda a rede, não apenas uma parte dela 

Ataques como remote file inclusion (RFI), injeção de SQL e cross-site scripting (XSS) são alguns dos recursos usados pelos hackers para estabelecer uma relação com a rede da vítima.

Em seguida, os cibercriminosos usam trojans e backdoors para expandir sua presença e criar uma permanência persistente dentro do perímetro da vítima. 

Estágios de um ataque por ameaça persistente avançada 

Um ataque por APT consiste em três estágios: infiltração na rede, expansão da presença e extração de dados. Para que seja bem-sucedidos, não pode haver detecção em nenhum desses estágios. Confira: 

Infiltração

Os hackers se infiltram na rede comprometendo áreas como ativos web, recursos da rede ou usuários com privilégios de acesso.

Para isso, usam uploads maliciosos, por meio de ataques de injeção de SQL, por exemplo, ou técnicas de engenharia social, como spear phishing

Ao mesmo tempo, pode ser que os cibercriminosos executem também um ataque DDoS para servir de distração.

Os profissionais de segurança ficam ocupados tentando “apagar o incêndio” e fazer os sistemas voltarem a funcionar e, enquanto isso, o perímetro de segurança enfraquece, tornando a invasão mais fácil. 

Depois de entrar na rede, os cibercriminosos instalam uma backdoor, que também podem vir em forma de trojans mascarados como trechos de softwares legítimos, evitando sua detecção por ferramentas de segurança. 

Expansão

Essa etapa envolve o comprometimento de membros da equipe com acesso a informações sensíveis.

Ao fazer isso, os cibercriminosos podem obter informações críticas para o negócio, incluindo dados sobre o lançamento de produtos, informações de funcionários e registros financeiros. 

Os dados obtidos podem ser vendidos a concorrentes, alterados para sabotar a organização ou usados para prejudicar a empresa.

Os hackers podem, por exemplo, deletar bases de dados inteiras dentro da empresa e prejudicar as comunicações da rede para prolongar o processo de recuperação para causar o máximo de danos. 

Extração

Os dados roubados geralmente ficam salvos em locais seguros dentro da própria rede da vítima.

Quando coletam o máximo de dados possível, os hackers então fazem a extração sem que sejam detectados

Para isso, pode ser que, novamente, a empresa sofra um ataque DDoS para distrair a equipe de segurança e enfraquecer as defesas, facilitando a extração sem detecção. 

Tendências para os próximos meses 

Para os próximos meses, a tendência é que as ameaças avançadas se tornem cada vez mais silenciosas e destrutivas. 

Grupos conhecidos de APTs começarão a usar diferentes tipos de malwares, possivelmente criados por outros grupos de cibercriminosos, em uma tentativa dificultar investigações sobre os possíveis autores de ataques cibernéticos.

Além disso, o número de ataques de APTs deve aumentar , levando também a um rápido crescimento de soluções específicas para esse tipo de ataque no mercado. 

Os hackativistas também devem começar a preferir ataques mais persistentes e avançados e deixar de lado as atividades mais “oportunistas”.

O número de cibercriminosos que usam APTs também deve aumentar devido à maior disponibilidades de ferramentas mais sofisticadas, que deve facilitar as ações de grupos ligados a objetivos políticos. 

Com isso, podemos esperar consequências cada vez mais severas desse tipo de ataque, com ações mais destrutivas.

Além de roubar informações, os hackers poderão modificar ou corromper informações em que dados são totalmente deletados ou criptografados

Se quiser estudar mais sobre apt, confira nossa curadoria de relatórios de segurança da informação!

Casos recentes 

Recentemente, um grupo conhecido como Dukes invadiu organizações governamentais nos Estados Unidos, como ministérios e agências, por cerca de sete anos.

O grupo aparentemente tinha ligação com o governo russo, devido à mensagem de erro em russo e aos horários das atividades do grupo, que eram compatíveis com o horário comercial de Moscou. 

Esse é apenas um dos exemplos recentes que temos de ataques de ameaças persistentes avançadas. Veja outros: 

Target 

Em 2013, a varejista americana Target foi vítima de um ataque de APT que roubou uma série de números de cartões de crédito de clientes.

No último trimestre deste ano, a empresa teve uma queda de 50% nas vendas e, entre 5% e 10% dos clientes disseram que nunca mais comprariam algo da loja. 

Escritório de gestão pessoal (OPM) dos Estados Unidos 

Em 2015, hackers atacaram o escritório de gestão pessoal (em inglês, office of personnel management – OPM) dos Estados Unidos e obtiveram uma série de informações sensíveis sobre funcionários.

Foram mais de 21 milhões de registros comprometidos. 

Ranking de países mais atingidos por ameaças persistentes avançadas na América Latina 

  1. Brasil 
  2. Chile 
  3. México 
  4. Peru 
  5. Argentina 

*Fonte: FireEye, 2015 

Ranking de setores mais atingidos por ameaças persistentes avançadas: 

  1. Química/Manufatura/Mineração 
  2. Serviços financeiros 
  3. Energia/utilities 
  4. Governo federal 
  5. Varejo 
  6. Saúde/farmacêutico 
  7. Serviços/consultoria 
  8. Telecomunicação 
  9. Aeroespacial/defesa 
  10. Entretenimento/mídia/hospedagem 

*Fonte: FireEye, 2015 

Gostou do nosso material?

Que tal conferir alguns dos nossos outros eBooks? 😉
[/av_textblock]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO-300×210.jpg’ attachment=’6450′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

RANSOMWARE

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/CIBERCRIME-E-AS-FRAUDES-FINANCEIRAS-NAS-EMPRESAS-1-300×210.png’ attachment=’6470′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/crimecrime-fraudes-financeiras’ target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CIBERCRIME

[/av_textblock]
[/av_one_half]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

Que tal dar uma olhada no nosso blog?

[/av_textblock]

[av_blog blog_type=’taxonomy’ link=’category,35′ blog_style=’blog-grid’ columns=’3′ contents=’title’ content_length=’content’ preview_mode=’custom’ image_size=’entry_with_sidebar’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]

Tudo que você precisa saber sobre spear phishing

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/SPEAR-PHISHING-1210×423.jpg’ attachment=’6390′ attachment_size=’entry_without_sidebar’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Tudo que você precisa saber sobre spear phishing

[/av_textblock]

[av_textblock size=” font_color=” color=”]
Ataques persistentes e sofisticados contra organizações governamentais e empresas de todos os tamanhos representam riscos para a segurança nacional e para a economia.

Enquanto isso, as campanhas de Spear Phishing se tornaram mais discretas, visando menos indivíduos dentro de um número menor de organizações.

Segundo o Global Threat Intelligence Report de 2016 da Dimension Data, Spear Phishing teve um salto de 2% em 2014 para 17% em 2015 nas categorias de incidentes de segurança identificados do ano.

No quadro geral, os ciberataques estão em constante crescimento e cada vez mais sofisticados. Consequentemente, o custo gerado quando encontram uma brecha é cada vez maior.

De acordo com o World Economic Forum’s 2016 Global Risks Report, o custo dos cibercrimes em 2016 está estimado em US$445 billhões (de dólares!).

Segundo o relatório ISTR (Internet Security Threat Report) 2016 da Symantec, em 2015 foram criados incríveis 430,5 milhões, um aumento de 36% em relação ao ano anterior . O que significa mais de 1 milhão e 179 mil novos malwares por dia!

O primeiro passo para se proteger dentro desse cenário preocupante é conhecer as ameaças, como elas funcionam, os perfis de risco, casos recentes e dicas de como evita-las!

O QUE É SPEAR PHISHING?

Spear Phishing são mensagens de e-mail, assim como o Phishing, mas dessa vez parecem vir de uma fonte confiável.

Mensagens de Phishing geralmente parecem vir de uma empresa grande e conhecida ou de um website com uma base de contatos extensa, como eBay ou Paypal, por exemplo.

Já no Spear Phishing, o e-mail parece ter sido enviado por um indivíduo ou empresa que você conhece, e mantém contato.

Não são apenas os websites que podem esconder exploits. Uma vulnerabilidade previamente desconhecida pode ser explorada para atacar uma organização usando um documento infectado no anexo de um email.

Esse ataque é conhecido como Spear Phishing, e conta com engenharia social para montar o email, de forma que ele pareça convincente.

Os emails de Spear Phishing são enviados em campanhas, para um grupo pequeno de pessoas, mas não todas ao mesmo tempo, são enviados individualmente ou quando pode atingir mais de uma pessoa da organização.

Com o tempo, exploits diferentes podem ser usados contra as mesmas pessoas, se os ataques anteriores não derem resultado. Porém, recentemente, os atacantes rapidamente mudam suas táticas após apenas algumas tentativas falhas, para se manter fora do radar.

Anteriormente, era mais provável que eles continuassem com usando exploits diferentes, ou atacando pessoas diferentes, mas dentro da mesma organização.

Resumindo, o Spear Phishing é uma tentativa de roubar informações pessoais como login, senhas, dados do cartão de crédito (e indiretamente, dinheiro), se passando por uma entidade conhecida e confiável, em uma comunicação eletrônica, como o email.

POR QUE É DIFERENTE DO PHISHING TRADICIONAL?

Ao contrário dos ataques isolados de Phishing, Spear Phishing é uma campanha, exige uma inteligência por trás de forma que o ataque seja direcionado, e tem um objetivo e alvo específicos.

Esses ataques são muito utilizados para obtenção de informações importantes, como dados bancários e informações corporativas. Se um funcionário for fisgado, o hacker pode ter acesso ao core de informações da organização.

Ataques de Spear Phishing são menos propensos a levantar suspeitas por serem campanhas menores, mais curtas e direcionadas para um número menor de pessoas.

Há um tempo atrás, uma campanha era direcionada para centenas de pessoas ou mais, qualquer um dos quais pode suspeitar e levantar a bandeira vermelha. Com menos pessoas, essa probabilidade é bastante reduzida.

Um ataque tradicional de Phishing pode ocorrer quando alguém manda uma mensagem para milhares de pessoas com o texto “Ai meu deus! Eu não acredito que você está nesse vídeo ” enquanto um ataque de Spear Phishing consiste em analisar cuidadosamente o alvo e seus hábitos.

Por exemplo, se você vai participar de algum evento em São Paulo, mas coloca no Facebook que está no Rio de Janeiro, um atacante pode te mandar a seguinte mensagem: “Oi João. Eu ouvi que você está indo para São Paulo na semana que vem. Enquanto você estiver lá, vale a pena visitar esse restaurante maravilhoso , tenho certeza de que você vai gostar!”

 

COMO O ATAQUE FUNCIONA

Segundo a Symantec, 91% dos ciber ataques começam com um email de Spear Phishing.

A fim de passar despercebidas, as campanhas de Spear Phishing aumentaram em número, mas agora são menores e com menos pessoas direcionadas em cada uma.

Segundo o ISTR, é esperado que em pouco tempo as campanhas de Spear Phishing vão consistir em um único alvo, ou um número seleto de indivíduos em uma mesma organização. 

Além disso, as campanhas maiores de Spear Phishing provavelmente serão conduzidas usando ataques watering hole, com websites comprometidos explorando vulnerabilidades zero-day altamente cobiçadas.

O QUE SÃO VULNERABILIDADES ZERO-DAY E WATERING HOLES

Um ataque watering hole é um exploit de segurança em que o atacante procura comprometer um grupo específico de usuários finais infectando sites que eles normalmente visitam. O objetivo é infectar o computador de um usuário-alvo e obter acesso à rede no local de trabalho do alvo.

O termo “zero-day” refere-se à natureza desconhecida da vulnerabilidade (menos para os hackers). Este ponto cego de segurança é então explorado por hackers antes que o servidor tenha conhecimento e possa corrigi-lo.

Dados do ISTR apontam um crescimento de 125% das vulnerabilidades ‘Zero-Day‘ em relação à 2013. A média de novas vulnerabilidades por semana passou de 24 em 2014 para 54 em 2015.

SPEAR PHISHING COMO RECURSO DOS ATAQUES APT

Spear phishing é o método mais usado em ataques de ameaça persistente avançada (APT). Os ataques APT usam malware sofisticado e campanhas sustentadas, multi-vetoriais e em várias etapas para alcançar um objetivo específico, ganhando acesso de longo prazo às redes, dados e ativos sensíveis de uma organização.

Ataques APT que entram em uma organização através Spear Phishing representam uma mudança clara na estratégia dos cibercriminosos.

Eles não precisam mais campanhas de spam em massa. O retorno de um ataque APT é bem maior se os criminosos direcionarem e-mails de Spear Phishing com precisão, e feitos sob medida de maneira a parecer completamente legítimos.

84% das organizações disseram que um ataque de Spear Phishing se concretizou em 2015. O impacto médio de um ataque bem-sucedido de Spear Phishing é de 1,6 milhões de dólares. As vítimas viram os preços de suas ações caírem 15%. (Fireeye White Paper – SPEAR-PHISHING ATTACKS WHY THEY ARE SUCCESSFUL AND HOW TO STOP THEM)

SERÁ QUE VOCÊ SE ENCAIXA NO PERFIL DE RISCO?

Esses tipos de ataques são normalmente direcionados a indivíduos específicos dentro das organizações. O objetivo é adquirir informações como nomes de usuários, senhas e detalhes do cartão de crédito (e indiretamente, dinheiro).

Em 2015, muitos ataques foram relacionados com fraude financeira e direcionado para executivos e o departamento financeiro. Os atacantes muitas vezes adquiriram um conhecimento detalhado da estrutura organizacional e realizaram engenharia social bem elaborada e ataques de Spear Phishing.

SETORES (INDÚSTRIAS) MAIS ATACADAS

O relatório ISTR (Internet Security Threat Report) 2016 da Symantec divulgou dados de uma pesquisa que mostram quais foram os setores mais alvejados por ataques de Spear Phishing.

Em 2015, o setor financeiro foi o alvo da maioria dos ataques, com 34,9% de todos os e-mails de Spear Phishing direcionados para empresas desse setor, 15% maior do que o ano anterior.

A probabilidade de uma empresa desse setor ser alvo de um ataque pelo menos uma vez no ano era 8,7% (aproximadamente 1 em cada 11 empresas).

A área de serviços ficou como alvo de 22% dos ataques de Spear Phishing, nessa mesma linha, o setor de manufatura ficou em terceiro lugar com 14% e o setor de transporte logo em seguida com 13%.

FUNCIONÁRIOS MAIS ATACADOS

Dados do ISTR apontam que o número de campanhas de Spear Phishing direcionados à funcionários cresceu 55% em 2015.

Outro relatório da Symantec mostra que indivíduos dos setores de Vendas e Marketing foram os maiores alvos em 2014, 1 em 2,9 deles seriam alvo pelo menos uma vez. Isso equivale a 35%.

Nessa mesma linha, os funcionários do setor financeiro ficaram em segundo lugar com 30%, e 1 a cada 3,3 sofreram ataques direcionados pelo menos uma vez no ano. A área de Operações ficou em terceiro lugar com 27% (1 a cada 3,8 funcionários).

Os gerentes foram o nível alvejado com maior frequência em 2014, com 1 em 3,8 deles sendo alvos pelo menos uma vez no ano – o que equivale a 26% dos indivíduos no nível gerencial.

O segundo nível mais direcionado foram os estagiários, com 25% e 1 em cada 3,9 dos estagiários seriam alvo desses ataques.

As pesquisas apontam que os usuários são o elo frágil dos esquemas de segurança, então os ataques são direcionados a eles.

Ataques de Spear-Phishing pelo tamanho da organização

Em 2015, uma organização do governo ou do setor financeiro que foi alvo de um ataque uma vez, era mais provável que ela fosse atacada novamente pelo menos mais três vezes durante o ano.

No geral, as grandes empresas que sofreram um ataque cibernético viram uma média de 3,6 ataques bem-sucedidos cada.

Nos últimos cinco anos, foi observado um aumento constante nos ataques dirigidos a empresas com menos de 250 funcionários, com 43% de todos os ataques dirigidos a pequenas empresas em 2015, provando que empresas de todos os tamanhos estão em risco.

Não é apenas empresas da Fortune 500 e nações-estado que estão em risco de ter seu IP roubado, até mesmo um serviço de lavanderia local pode ser um alvo. Em um exemplo, uma organização de 35 funcionários foi vítima de um ataque cibernético por parte de um concorrente.

O concorrente se escondeu em sua rede por dois anos roubando informações de clientes e preços, dando-lhes uma vantagem significativa.

Isso mostra que nenhum negócio é sem risco. Atacantes motivados puramente por lucro podem ser tão tecnicamente sofisticados e bem organizados como qualquer nação patrocinada pelos estados atacantes.

Os ataques contra as pequenas empresas continuaram a crescer em 2015, embora muitos desses ataques tenham sido dirigidos a um número menor de organizações, aumentando em 9 pontos percentuais.

Em 2015, 35% dos ataques de Spear Phishing foram direcionadas para empresas de grande porte (+2.500). 43% foram direcionados a empresas de pequeno porte (até 250 funcionários). E 22% para empresas de médio porte (de 251 a 2.500). 

CASES RECENTES

Spear Phishing virou notícia em 2011, quando um ataque na RSA, a divisão de segurança da EMC, foi descoberto. O ataque foi direcionado a apenas quatro indivíduos dentro da empresa.

Como a FireEye explica em um White Paper, um deles fez o download de uma planilha de Excel que foi cuidadosamente trabalhada pelos hackers com um cavalo de tróia que permitiu o acesso à rede corporativa através de uma vulnerabilidade zero-day no Adobe Flash.

O ataque de spear phishing foi o meio para iniciar a invasão e, em seguida, seguiu um movimento APT que permitiu os hackers roubarem as credenciais dos administradores e terem acesso a informações sobre clientes da Secure-ID incluindo Lockheed Martin e Northrop Grumman.

O potencial destrutivo dos ataques de spear phishing para as empresas é claramente evidenciado no caso da Ubiquiti Networks Inc., uma empresa americana. Em julho de 2015, a empresa perdeu U$46,7 milhões de dólares por causa de um email de Spear Phishing. Uma reportagem da U.S. Securities and Exchange Commission mostra que o atacante se passou por um funcionário da empresa e fez solicitações fraudulentas de uma empresa externa para o departamento financeiro. A fraude resultou em uma transferência de fundos que somaram U$46,7 milhões. As transferências foram realizadas diretamente por funcionários da Ubiquiti que foram enganados ao pensar que estavam recebendo pedidos legítimos de executivos graças a endereços de e-mail falsos e domínios parecidos.

Os ataques resultam em roubo de identidade, fraude financeira, roubo de propriedade intelectual ou espionagem. Os ataques mais recentes foram vinculados à espionagem afiliada a um Estado por uma causa política. De acordo com o último relatório Data Breach Investigations Report (DBIR) 2016 da Verizon, phishing foi o principal ataque utilizado nos incidentes de espionagem cibernética.

COMO SE PROTEGER

Segundo o White Paper da FireEye, “Spear-Phishing Attacks”, o impacto médio de um ataque bem-sucedido de spear phishing é de 1.6 milhões de dólares.

Os atacantes só têm que ter sucesso uma vez, enquanto as empresas devem bloquear cada tentativa de ataque para permanecerem seguras.

As empresas devem começar a pensar sobre o que fazer quando (e não “se”) tal violação ocorrer. A primeira dica, portanto, é: espere ser atacado. Não se, mas quando.

A segunda dica pode parecer óbvia, mas é extremamente importante. Troque suas senhas frequentemente. E não use a mesma senha para mais de um aplicativo, sistema ou website.

Terceiro, eduque seus colaboradores sobre o que é um email de Spear Phishing e como ele aparenta.

Uma plataforma de TI só é segura até onde os usuários fazem dela. Em outras palavras, você é tão seguro quanto o seu elo mais fraco. Por isso, os funcionários precisam ser treinados devidamente quando o assunto é segurança da rede. Conscientização de segurança deve ser a sua primeira linha de defesa contra todos os tipos de phishing, e até mais, contra ataques de spear phishing.

Cibercriminosos estão aumentando seus recursos para explorar qualquer informação pessoal descoberta através de engenharia social. Qualquer um pode virar um alvo de um ataque de Spear Phishing, então combater esse problema requer treinamentos de conscientização contínuos para todos os usuários para que eles sejam cuidadosos com o que eles compartilham e evitar revelar informações pessoais online para não se tornarem vítimas de roubo de identidade.

Por fim, a maioria das soluções tradicionais não está preparada para lidar com as ameaças avançadas, como ransomware, spear phishing, zero-day e APTs. Antes que um antivírus tradicional possa detectar e parar um ataque, o ransomware já criptografou todos os arquivos e bloqueou o acesso ao sistema. Nesse sentido, os softwares de próxima geração, ou next-generation antivírus, são as melhores ferramentas para proteger o negócio.

NGAV tem uma visão centrada no sistema de segurança de endpoint, examinando todos os processos em cada extremidade para detectar e bloquear as ferramentas, táticas, técnicas e procedimentos maliciosos usados pelos atacantes, através de algoritmos.

CONCLUSÃO

Podemos perceber que o Spear Phishing é uma ameaça recente, mas agressiva. E os riscos associados são substanciais.

O relatório DBIR 2016 da Verizon também compartilha conclusões interessantes sobre o número de usuários que abriram os e-mails de phishing em todas as campanhas, que por incrível que pareça é de 30% e, mais preocupante ainda, cerca de 12% abriram os anexos.

Isso mostra o despreparo que ainda existe, enfatizando a importância do treinamento e capacitação dos colaboradores no que diz respeito a identificação dos email de phishing (e, principalmente, Spear Phishing).

Afinal, a maioria dos ataques começam com um email mal intencionado. Especificamente, e-mails que utilizam engenharia social, como o Spear Phishing, é o favorito dos atacantes, por que é eficaz.

Por isso, é importante a conscientização sobre esse tema e continuar atento às mudanças do mercado de cibersegurança.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_blog blog_type=’taxonomy’ link=’category,105′ blog_style=’blog-grid’ columns=’3′ contents=’title_read_more’ content_length=’content’ preview_mode=’custom’ image_size=’timeline-express’ items=’3′ offset=’0′ paginate=’no’ conditional=”]