Perto de um terço dos ataques bem-sucedidos usam ferramentas legítimas

Quase um terço (30%) dos ciberataques investigados pela equipa da Kaspersky Global Emergency Response, em 2019, envolveram ferramentas legítimas de gestão e administração remota. Segundo o relatório “Incident Response Analytics” da Kaspersky, os cibercriminosos podem permanecer indetetáveis durante um longo período de tempo. Por exemplo, os ataques contínuos de ciberespionagem e roubo de dados confidenciais tiveram uma duração média de 122 dias.

O software de monitorização e gestão ajuda os administradores de IT e de rede a executar tarefas diárias, tais como a resolução de problemas e a prestação de apoio técnico aos colaboradores. No entanto, os cibercriminosos também podem aproveitar estas ferramentas legítimas para atacar a infraestrutura de uma empresa. Este software permite-lhes executar processos em endpoints, aceder e extrair informação sensível, contornando vários controlos de segurança destinados a detetar malware.   

Segundo o novo relatório da Kaspersky, no total, a análise de dados anonimizados de casos de resposta a incidentes (IR) mostrou que 18 ferramentas legítimas foram utilizadas por cibercriminosos para fins maliciosos. A mais utilizada foi a PowerShell, a registar 25% dos casos. Esta poderosa ferramenta de gestão pode ser utilizada para muitos fins, desde a recolha de informação até ao desenvolvimento de malware. Já o PsExec foi aproveitado em 22% dos ataques - esta aplicação destina-se ao lançamento de processos em endpoints remotos -  seguindo-se o SoftPerfect Network Scanner (14%), que se destina a recuperar informações sobre ambientes de rede.  

É difícil para as soluções de segurança detetar ataques conduzidos com ferramentas legítimas, uma vez que estas ações podem fazer parte de uma atividade de cibercrime planeada ou de uma tarefa regular do administrador de sistemas. Por exemplo, os ataques contínuos de ciberespionagem e roubo de dados confidenciais tiveram uma duração média de 122 dias. Como não foram detetados, os cibercriminosos conseguiram recolher dados sensíveis das vítimas.

No entanto, os investigadores da Kaspersky indicam que, por vezes, é fácil perceber quando são realizadas ações maliciosas com software legítimo. Por exemplo, os danos de um ataque de ransomware através de software legítimo são frequentemente visíveis. A duração média de ataques curtos foi de um dia.

"Os atacantes utilizam software desenvolvido para a atividade normal do utilizador, tarefas de administrador e diagnósticos do sistema, de modo a não serem detetados e permanecerem invisíveis numa rede comprometida, durante o máximo de tempo possível. Com estas ferramentas, os atacantes podem recolher informações sobre redes empresariais e depois realizar movimentos laterais, alterar configurações de software e hardware ou até mesmo realizar uma ação maliciosa. Por exemplo, podem utilizar software legítimo para encriptar dados de clientes. O software legítimo também pode ajudar os atacantes a permanecerem por baixo do radar dos analistas de segurança, uma vez que muitas vezes só detetam o ataque depois de o dano ter sido feito. Embora não seja possível excluir estas ferramentas por muitas razões, os sistemas de registo e monitorização devidamente implantados podem ajudar a detetar atividade suspeita na rede e ataques complexos em fases iniciais", comenta Konstantin Sapronov, Head of Global Emergency Response Team da Kaspersky.