Conheça o seu inimigo: saiba como os cibercriminosos atacam

Assim sendo, uma boa gestão de riscos é fundamental, sendo inteligente centrarmo-nos primeiro nos problemas de cibersegurança mais perigosos, mesmo que não sejam os mais excitantes. O que funciona realmente para os cibercriminosos num ataque? O que fazem quando nas nossas redes? Quanto tempo permanecem lá depois de terem estabelecido as bases da sua operação? Porque devemos encontrar e tratar a causa de um ataque, e não apenas resolver os sintomas óbvios?

Active Adversary Playbook

John Shier, especialista da Sophos, analisou os relatórios de 144 ciberataques reais investigados pela equipa Sophos Rapid Response em 2021. As conclusões a que chegou podem não surpreender, mas são vitais – porque são o que realmente aconteceu, e não apenas o que poderia ter acontecido:

• As vulnerabilidades sem correção foram o ponto de entrada para quase 50% dos atacantes; 

• Os atacantes permaneceram em média mais de 1 mês nas redes das vítimas, se receber o resgate não era o seu alvo principal. Os criminosos que se dedicam ao ransomware permanecem escondidos por períodos muito mais curtos (menos de 2 semanas) – assim que encontram os dados que pretendem, saem do esconderijo e avançam diretamente para a chantagem;

• Foram roubados dados em 40% dos incidentes (mas, como nem todos os roubos de dados podem ser provados, o número real pode ser muito superior); 

• Mais de 80% dos atacantes utilizou o Remote Desk Protocol (RDP) para navegar na rede depois de a ter invadido.

O que torna os ataques de ransomware tão prejudiciais?

Há grupos de cibercriminosos que não se envolvem em confrontos diretos com “gangues” de ransomware, como os brokers de acesso inicial (Initial Access Brokers – IABs). Estes não obtêm as suas receitas da extorsão das vítimas após um ataque, mas sim da ajuda e cumplicidade para com outros criminosos que o fazem.

Contudo, a longo prazo podem causar muito mais danos às empresas do que os atacantes de ransomware, porque o seu objetivo é aprender tudo sobre as organizações (equipas, negócio, fornecedores e clientes), durante o tempo que quiserem. Depois, lucram vendendo esses dados a outros cibercriminosos. 

Por outras palavras, se os criminosos de ransomware são capazes de entrar rapidamente nas redes das vítimas, mapeá-las exaustivamente, atacar de forma contundente e fazer exigências tão dramáticas, é bem possível que seja porque compraram o seu próprio “Active Adversary Playbook” chave-na-mão a criminosos que já tinham entrado naquela rede antes.

O RDP ainda é perigoso

A boa notícia é que atualmente o Remote Desktop Protocol está muito melhor protegido, sendo o ponto de entrada inicial para menos de 15% dos atacantes. (No ano passado, eram mais de 30%.) Contudo, a má notícia é que muitas empresas ainda não adotaram os conceitos de Zero Trust ou Need to Know.

De facto, em mais de 80% dos ataques, o RDP foi violado para ajudar os atacantes a saltar de um computador para outro depois de terem penetrado na camada mais exterior, levando a cabo aquilo que é conhecido por “movimento lateral”.

Por outras palavras, embora muitas empresas pareçam ter reforçado os seus portais RDP de acesso externo, parecem ainda confiar demasiado nas defesas de perímetro como instrumento primário de cibersegurança. No entanto, as redes atuais – num mundo com muito mais teletrabalho do que há 3 anos – já não têm realmente um perímetro que seja defendível.

O que fazer?

Com o argumento de que conhecer os seus ciberinimigos torna menos provável que seja apanhado de surpresa, o nosso conselho é que leia o relatório “Active Adversary Playbook 2022” da Sophos. Como John Shier salienta na sua conclusão: “Até que um ponto de entrada exposto seja encerrado, e tudo o que os atacantes tenham feito para estabelecer e manter o seu acesso seja completamente erradicado, praticamente qualquer pessoa pode entrar na sua rede depois deles. E isso vai, provavelmente, acontecer.”

Lembre-se: se precisar de ajuda, peça-a. Não demonstra fraqueza nem fracasso. Afinal de contas, se não investigar a sua rede para encontrar os pontos vulneráveis, pode estar certo de que os cibercriminosos o farão.

Conteúdo co-produzido pela MediaNext e pela Sophos