Nem sempre as tecnologias mais recentes e disruptivas estão na base da ação dos cibercriminosos. Os novos ataques sem malware usam velhas táticas para atingir cada vez mais organizações.
Os chamados "non-malware attacks" estão longe de ser novos, mas constituem uma das formas em crescendo dos novos ciberataques. Por usarem velhas táticas os hackers renovam as lógicas de intrusão e de contacto com as vítimas, explorando o fator confiança para criar formas diferentes de entrar nos sistemas das empresas. Por consequência, estes ataques não são normalmente detetados pelas ferramentas genéricas de proteção instaladas nos sistemas locais – e mesmo os administradores de TI poderão ter dificuldade em detetar as operações anómalas durante uma intrusão. Apesar de teoricamente simples, o objetivo destes ataques “fileless” é o de tomar controlo de um computador ou sistema sem transferir qualquer tipo de malware, tornando-se, por isso, invisível. Isto é normalmente conseguido explorando vulnerabilidades já existentes, que tanto podem ser tecnológicas, como humanas. Ataques tecnológicosNos ataques ditos mais tecnológicos, os hackers conseguem o acesso a ferramentas de utilização legítima (p. ex. PowerShell ou WMI) que exploram de forma maliciosa. Essas ferramentas “dual-use” (assim designadas por permitirem uma utilização legítima, mas também maliciosa) permitem depois aos hackers controlar os sistemas. Atualmente existem mais de uma centena de aplicações desse tipo, com o PowerShell (para automação de tarefas), o WMI (Windows Management Instrumentation) e SSH (Secure Shell) a surgirem como as mais utilizadas. Este tipo de ataques possui ainda como características mais comuns a utilização exclusivamente da memória da máquina atacada, podendo no entanto ter uma componente de persistência, que pode fazer com que o código possa continuar a correr, mesmo após um reboot dos computadores. Uma vez que este tipo de ataques não tem uma “assinatura” como um normal vírus ou outro malware, acabam por não ser detetados pelos antivírus tradicionais. Ataques não-tecnológicosSão ataques que não exigem elevadas skills de TI por parte dos cibercriminosos, mas sim conhecimentos de engenharia social. A lógica aqui é explorar o desconhecimento do utilizador ou a confiança que deposita na informação que recebe nos seus canais de comunicação, com o phishing a surgir como o tipo de ataque mais usado neste contexto. Seja por desconhecimento ou incúria, a verdade é que as pessoas continuam a colocar em risco os sistemas. E o que há alguns anos colocava sobretudo em causa o património individual, pode hoje ser o ponto de partida para fraudes de muitos milhões. Imagine, por exemplo, um hacker obter as credenciais de acesso do responsável do departamento financeiro de uma organização. Rapidamente conseguirá despoletar um contacto dissimulado com um cliente, fornecendo-lhe um IBAN alternativo para receber um pagamento… Como nos protegemos?No caso dos ataques “non-malware” mais tecnológicos, há procedimentos básicos que reduzem drasticamente a probabilidade de um ataque ser bem-sucedido: manter os dispositivos atualizados; não usar ferramentas desnecessárias que possam servir de porta a esses ataques; desativar macros; monitorizar tráfego não autorizado com o objetivo de detetar padrões anómalos de utilização; e apostar em serviços e soluções de proteção “endpoint” e transversais aos sistemas. Já a forma de mitigar os efeitos de ataques não-tecnológicos passa pela formação contínua dos utilizadores, dando-lhes o conhecimento necessário para atuar sempre com cuidados redobrados na utilização das ferramentas, sobretudo de comunicação. Esta formação permite, a prazo, melhorar os processos de segurança, mas também compreender a lógica necessária de atuação face à lógica dos ataques – por exemplo, já não basta mudar frequentemente de password, mas definir novas passwords seguindo lógicas distintas… Numa altura em que muitos utilizadores esperam ataques tecnologicamente avançados, os hackers vão contrapondo com táticas já conhecidas, que estranhamente continuam a ter sucesso. A solução está em perceber cada vez melhor as lógicas que movem os atacantes, criando um escudo de proteção que integre uma componente tecnológica e outra social – por muito paradoxal que a solução possa parecer.
Conteúdo co-produzido pela MediaNext e pela Claranet |