A indústria hacker, cada vez mais profissional, não oferece apenas malware e ferramentas para alugar. Peritos criminais também oferecem seu trabalho por dinheiro. Sua experiência em Ameaças Persistentes Avançadas (APT) requer defesa ao nível dos olhos: Detecção e Resposta Gerenciadas (MDR).
Nos últimos anos, o cibercrime tornou-se mais organizado e cada vez mais baseado no exemplo do mundo dos negócios. Por quase uma década, o Malware-as-a-Service ofereceu inicialmente uma entrada rápida no mundo do cibercrime e sempre houve uma grande variedade de ferramentas no mercado ilegal: Remote Access Trojans (RAT), redes de bots para envio de spam ou até ataques sofisticados de ransomware. Equipados dessa forma, criminosos com pouco conhecimento técnico agora podem operar até mesmo malwares complexos. A receita gerada é dividida entre os diversos participantes, como na vida normal dos negócios: o fabricante, por exemplo, recebe 40% e o restante vai para as operadoras que realizam o ataque.
Cibercriminosos com divisão de trabalho
O ecossistema existente de serviços e malware incentivou os cibercriminosos a continuar com sua divisão de trabalho no estilo industrial: os desenvolvedores escrevem o código, os gerentes de produto projetam os roteiros gerais enquanto consideram as contramedidas. O suporte técnico oferece suporte aos usuários em seus negócios diários. Todo o modelo de negócios é financiado pelas vítimas. Em seu próprio nome, os atores então anunciam nas mídias sociais ou em um fórum alias com os resultados financeiros alcançados em campanhas anteriores para recrutar novos parceiros.
Infelizmente, o Malware-as-a-Service comercial provou seu valor. As análises mostram que a tendência à comercialização no sentido negativo é mais sustentável e abrangente do que se imagina: desenvolvedores e parceiros geram bilhões em receita. Por exemplo, os criadores do ataque de ransomware GandCrab alegaram em fóruns clandestinos em 2019 que haviam extorquido mais de dois bilhões de dólares americanos das empresas atacadas.
De malware criminoso a provedor de serviços APT
Há dois anos, os grupos mercenários da APT começaram a oferecer seus serviços. Eles são direcionados a jogadores-chave interessados em métodos avançados de ataque e potencialmente trabalhando com governos. Visando sistemas de TI em grande parte da Europa e Alemanha, esses grupos usam Táticas, Técnicas e Processos (TTPs) avançados para espionar e roubar informações confidenciais.
Em 2018, o até então desconhecido grupo APT RedCurl atacou diversas empresas dos setores bancário, segurador, jurídico, construção, financeiro, consultoria, varejo e turismo. De acordo com a análise dos especialistas em segurança de TI do Group-IB, os autores usaram uma poderosa estrutura de malware para exfiltração de dados. No verão de 2020, a Bitdefender divulgou as atividades de outro grupo profissional de invasores APT: seu modelo de negócios era baseado em espionagem cibernética no setor imobiliário. Para fazer isso, ele usou uma carga maliciosa disfarçada de plug-in para o popular software de computação gráfica 3D, o Autodesk 3ds Max. O teste profissional do código contra as contramedidas garantiu que o malware não fosse detectado quando implantado.
Crime cibernético em um novo nível
A experiência das organizações por trás desses ataques leva o crime cibernético a um novo nível. As ferramentas de espionagem APT são produtos de equipes experientes de desenvolvedores com conhecimento altamente especializado. Estes usam kits de ferramentas adaptados ao respectivo projeto. Eles também impedem que o malware se espalhe além do alvo real do ataque. Como resultado, é menos provável que os fornecedores de defesa obtenham uma cópia do malware para detecção futura. Isso apresenta grandes desafios às equipes de defesa de pequenas e médias empresas, em particular. Abordagens convencionais para detectar malware com base em arquivos ignoram, por exemplo, amostras polimórficas de malware e o chamado malware sem arquivo. As táticas de viver fora da terra, como abusar do Protocolo de Área de Trabalho Remota (RDP) ou outras ferramentas legítimas, são difíceis de detectar. Isso torna muito difícil para pequenas e médias empresas e organizações reagir a esses perigos com a velocidade necessária.
É verdade que a maioria das empresas possui tecnologias básicas para se proteger contra vários tipos de malware. Mas as ferramentas sofisticadas dos profissionais da APT, uma vez dentro da rede corporativa, podem voar sob o radar dos contadores e escapar de suas ações, pelo menos por um tempo.
profissionalizar defesa
As soluções de segurança de endpoint sozinhas não podem detectar comportamento malicioso e cargas úteis em toda a cadeia de ataque. A tecnologia por si só não é suficiente para identificar ataques complexos que foram desenvolvidos com grande sofisticação e habilidade. A defesa contra invasores APT requer a interação de software e especialistas.
Para descobrir todas as intenções e toda a extensão de um ataque realizado por profissionais, é importante avaliar os eventos agregados em uma solução EDR (Endpoint Detection and Response) por um analista humano. Um incidente relevante é encaminhado para especialistas em forense digital para análise. O Gerenciamento de Incidentes contém os danos. Ele reduz o custo e o tempo para restaurar o estado anterior do sistema ou o conjunto de dados e evita danos à reputação.
Mas o conhecimento necessário para tal análise é escasso e tem um preço. Também leva tempo para treinar uma equipe de especialistas em riscos cibernéticos. Portanto, diante de invasores altamente determinados, muitas organizações devem considerar a possibilidade de obter ajuda externa na forma de detecção gerenciada e ofertas de resposta.
Detecção e resposta gerenciadas
Um MDR (Managed Detection and Response) operado externamente combina tecnologias de segurança comprovadas para análise de segurança de detecção de endpoint e investigações de tráfego de rede com a competência e conhecimento necessários de especialistas altamente qualificados. Esse centro de segurança de TI adicional terceirizado oferece suporte a empresas que não têm acesso a tecnologias avançadas - como SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) e SOAR (Security Orchestration Automation and Response) - ou não têm pessoal suficiente para defesa XNUMX horas por dia, XNUMX dias por semana, contra ameaças cibernéticas críticas para os negócios. A supervisão adicional fornecida por especialistas permite a detecção avançada de incidentes de segurança com resposta rápida usando processos automatizados e pré-aprovados. Isso permite que analistas externos tomem medidas rapidamente para mitigar e evitar ameaças.
As ofertas de MDR também incluem a busca ativa de ameaças até o monitoramento da dark web e análise forense para investigar indicadores de ameaças contextuais e acionáveis. Os especialistas também analisam o fator de risco de pessoas e funcionários. Modelos de ameaças definidos de forma personalizada permitem uma resposta personalizada a incidentes. Alvos de ataque que são críticos para a empresa e envolvem riscos especiais para a empresa podem ser monitorados de maneira direcionada. O Security Operation Center (SOC) do provedor de MDR oferece a experiência de especialistas e fornece relatórios de acordo com os requisitos de clientes de diferentes setores.
restaurar o nível dos olhos
Não apenas o cenário de ameaças mudou, mas também a organização, as estruturas e, por fim, a equipe de criminosos cibernéticos. Seus modelos são a divisão do trabalho e os modelos de negócios no mundo dos negócios jurídicos. Os invasores terceirizam a tecnologia e o desenvolvimento. Provedores de serviços maliciosos continuam se posicionando com suas ofertas para atacar empresas de todos os tamanhos e setores para lucrar com o cibercrime. É hora da economia legal pensar em seus processos de colaboração: as empresas não precisam apenas ter acesso às tecnologias de defesa, mas também à competência e experiência de especialistas externos para fazer frente aos atores nocivos. Você compra o que precisa, mas não consegue fazer sozinho.
Saiba mais em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de