7 antigos vetores de ataque que os cibercriminosos ainda usam

Os cibercriminosos contam com antigos vetores de ataque para atingir organizações, sistemas e dados. Por quê? Eles funcionam e são baratos para explorar.

Mesmo na era atual da evolução digital, hackers maliciosos continuam a usar vetores de ataque que datam de décadas. A pesquisa mostra períodos notáveis de ressurgimento em relação a certos métodos considerados antiquados. O que isso indica é que, embora as especificidades do ataque possam mudar com o tempo, os pontos de infecção, distribuição e proliferação podem permanecer e até levar às violações mais significativas.

“Os cibercriminosos tendem a retornar aos métodos de ataque ‘antigos favoritos’, principalmente quando os vetores mais novos são desligados ou se tornam mais difíceis de executar devido aos esforços das equipes de segurança e de aplicação da lei”, diz Jack Chapman, vice-presidente de inteligência de ameaças da Egress.

O engenheiro de segurança estratégica da Cato Networks, Peter Lee, concorda, citando duas razões principais pelas quais os cibercriminosos usam vetores de ataque da “velha escola” – economia e aquisição de alvos. “O mercado de exploração em expansão coloca um preço em tudo o que os invasores lançam em seus alvos e os preços variam enormemente, então há um forte incentivo para os invasores começarem barato e subirem. Não há necessidade de queimar seu iPhone de US$ 2 milhões no dia zero se você puder comprometer o mesmo alvo explorando um servidor da Web sem patch CVE de 2017. alvos, o que ocasionalmente os força a recorrer a antigos vetores que caíram fora do radar de muitos defensores”.

Aqui estão sete antigos vetores de ataque que os cibercriminosos ainda usam hoje com conselhos práticos para se defender deles.

1. Dispositivos de armazenamento físico para infectar sistemas, espalhar malware

Os primeiros vírus de computador se espalham por meio de disquetes, e o uso de dispositivos de armazenamento físico para infectar sistemas e propagar malware persiste até hoje. Isso foi evidenciado em janeiro de 2022, quando o FBI emitiu um alerta público sobre o BadUSB, uma campanha de ataque USB na qual várias unidades USB, repletas de software malicioso, foram enviadas a funcionários de organizações dos setores de transporte, defesa e seguros.

Os USBs eram teclados configurados disfarçados de vales-presente ou faturas e, uma vez inseridos, injetavam comandos para baixar malwares como crachás, backdoors e ransomware. A campanha foi uma tentativa de explorar a tendência de trabalho em casa em massa e mostrou que os fraudadores modernos não são avessos ao uso de métodos com dezenas de anos.

“Desde meados de 2021, o Cisco Talos Incident Response (CTIR) respondeu a um número crescente de compromissos nos quais unidades USB removíveis estão infectando organizações com malware, afetando uma variedade de verticais do setor”, David Liebenberg, chefe de análise estratégica da Cisco Talos , diz CSO. “Observamos várias variantes de malware, geralmente mais antigas, entregues dessa maneira, incluindo Sality e PlugX, que visam sistemas Windows e são conhecidos por se espalharem por unidades removíveis”.

Os invasores continuam usando esse método de ataque porque funciona e para explorar o aumento do trabalho híbrido, juntamente com a falta de treinamento dos funcionários, diz Liebenberg. “As organizações que usam USBs ou unidades removíveis para operações comerciais legítimas devem limitar e, se possível, restringir o uso de USB no ambiente. Eles também devem ter políticas claras restringindo a reutilização de USB ou o uso de USBs em casa e fornecer treinamento para funcionários sobre os riscos associados à conexão de USBs pessoais a sistemas corporativos.”

2. Vírus de macro para explorar o Microsoft Word e o Outlook

Os invasores continuam a atacar as organizações com vírus escritos em linguagem macro e ocultos em documentos, um vetor de ataque desde o vírus Melissa de 1999. Esse vírus explorou os sistemas baseados no Microsoft Word e Outlook, infectando computadores por e-mail e um anexo malicioso, antes do envio em massa para as primeiras 50 pessoas na lista de contatos da vítima e desativando vários recursos de proteção.

“Apesar das formas de as organizações se protegerem e da orientação de empresas como NCSC do Reino Unido, NIST dos EUA e ACSC australiano, as macros ainda são difíceis de se defender completamente”, diz Piers Wilson, chefe de gerenciamento de projetos da Huntsman Security. “Muitos dos vetores em torno de macros dependem da engenharia social. Por exemplo, um documento pode aparecer como caracteres aleatórios enquanto o e-mail de cobertura diz que, como um documento confidencial, os usuários precisam habilitar macros para decodificá-lo.”

Os invasores podem usar macros para crimes cibernéticos ou tentativas de exploração mais sofisticadas, mas grande parte da proteção se resume à educação do usuário e à implementação de controles técnicos no gateway e no endpoint, acrescenta Wilson. “No entanto, como muitos documentos ainda usam macros (incluindo, ironicamente, questionários de segurança do fornecedor), sempre existe o risco de que a vigilância falhe e um ataque seja aprovado.”

3. Explorar vulnerabilidades antigas e não corrigidas para ganhar pontos de ataque

A segmentação de vulnerabilidades identificadas anteriormente é uma tática muito comum e testada pelo tempo usada por invasores e vulnerabilidades conhecidas podem ser exploradas anos depois se não forem corrigidas, disse Allie Mellen, analista da Forrester, ao CSO. “Um exemplo clássico disso é o exploit EternalBlue. Apesar de os patches terem sido lançados para a vulnerabilidade em março de 2017, o exploit foi usado em maio de 2017 pelo ransomware WannaCry, e novamente em junho de 2017 no ciberataque NotPetya. É por isso que corrigir sistemas de forma rápida e eficaz é tão importante.”

Ryan Linder, engenheiro de risco e vulnerabilidade da Censys, concorda. “A EternalBlue (CVE-2017-0144) ainda está tornando as organizações vulneráveis hoje. A exploração afeta o protocolo SMB (Server Message Block). De acordo com os dados de pesquisa do Censys, ainda existem mais de 200.000 sistemas expostos à internet que suportam SMBv1, que foi criado em 1983”, afirma. Muitas empresas não mantêm seus softwares atualizados, o que as deixa vulneráveis a explorações críticas, e mesmo quando as explorações são divulgadas publicamente, muitas ainda não conseguem corrigir seus sistemas, acrescenta.

A correção consistente também é uma coisa muito difícil de fazer em uma empresa grande e complexa, e é por isso que é importante priorizar esses esforços e torná-lo um esforço de toda a empresa, diz Mellen.

4. Injeção de SQL para manipular aplicativos/páginas da web, acessar bancos de dados

Os ataques SQL podem ter mais de 20 anos, mas os hackers continuam voltando a eles para explorar aplicativos/páginas da Web e acessar os bancos de dados que estão por trás deles, diz Chapman. “Não é uma abordagem nova ou inovadora, mas os cibercriminosos sabem que não precisam reinventar a roda para obter resultados.” As injeções de SQL ainda funcionam porque os desenvolvedores geralmente cortam o código sem a devida conscientização de segurança, acrescenta ele.

De fato, as injeções de SQL ocupam o terceiro lugar no Top 10 do OWASP para vulnerabilidades da Web e, em 2021, 718 vulnerabilidades de injeção de SQL foram aceitas como CVEs. “As organizações podem evitar esses ataques com testes dinâmicos de segurança de aplicativos (DAST) e testes estáticos de segurança de aplicativos (SAST)”, acrescenta Chapman.

5. Fraude de taxa avançada para usuários fraudulentos

Essa técnica ganhou reputação por meio de 419 golpes, comumente conhecidos como o truque do “parente perdido rico que morreu e deixou dinheiro”. Pesquisas indicam que remonta ao século 19 e é frequentemente usado por fraudadores nos dias atuais. O método aproveita a escassez de tempo – por exemplo, “Você perderá se não agir rapidamente e obterá um grande retorno por um pequeno desembolso”.

“Enquanto o e-mail do ‘tio rico’ ainda circula hoje em dia, essa técnica é muito mais provável de ser usada no contexto de um golpe de criptomoeda (investir uma pequena quantia para um grande ganho inesperado), golpes de transferência eletrônica/cartões de presente (ajuda seu chefe em busca de favores no local de trabalho) ou fraudes de multa falsas (pague algum dinheiro ao IRS para que eles cancelem uma conta de imposto) ”, disse o fundador da Bugcrowd, Casey Ellis, à CSO. Esses golpes são eficazes porque desencadeiam ganância, aversão à perda e viés de escassez, diz ele.

“Se uma vítima for explorada com sucesso, muitas vezes um invasor explorará a falácia do custo irrecuperável e dobrará para obter mais deles.” O isolamento social e as mudanças na dinâmica social criadas pela pandemia do COVID-19 aumentaram esse tipo de golpe, uma vez que a capacidade normal de verificar se o envolvimento em uma atividade é inteligente ou não é mais difícil para a vítima em potencial, diz Elis. “Dentro de uma empresa, promover uma cultura de confiança, mas verificar, juntamente com zero culpa (e zero críticas por verificar se algo é legítimo ou não), pode ser uma maneira eficaz de fortalecer uma força de trabalho contra esse tipo de ataque e, se feito, bem, eles podem compartilhar suas lições e paranóias proativas para proteger melhor suas famílias e amigos também.”

6. Ataques do Remote Desktop Protocol para expor sistemas

As vulnerabilidades do RDP têm sido um problema há anos, mas aproximadamente um terço dos ataques cibernéticos ainda começam com um computador Windows com RDP exposto à Internet, diz Ray Canzanese, diretor do Netskope Threat Labs. “Os invasores automatizaram completamente seus processos para descobrir e atacar serviços expostos, como o RDP.”

O RDP nunca deve ser exposto à Internet, acrescenta Canzanese, e se você precisar de acesso RDP quando estiver fora de casa ou do escritório, deverá usar uma das muitas redes privadas virtuais (VPN) ou confiança zero soluções de acesso à rede (ZTNA) que permitem usar o RDP sem expô-lo. “Você pode usar uma solução VPN ou ZTNA para garantir que nenhum serviço de rede seja exposto à Internet para ser alvo de invasores.”

7. Phishing de cast-netting destinado a grupos de vítimas

Os ataques de phishing por e-mail com redes fundidas têm o nome de uma técnica de pesca tradicional em que o pescador lança uma rede comparativamente pequena em um lago ou outra área pequena. Eles não se importam com o peixe que pegam, mas será daquele pequeno espaço. “Ao contrário do Spear-phishing, que é muito focado em atacar um indivíduo específico, ou phishing de rede de deriva, que pode enviar milhares a milhões de e-mails na esperança de pegar qualquer pessoa com a isca, a rede de elenco atinge qualquer pessoa em um determinado organização”, diz o engenheiro técnico sênior da Vulcan Cyber, Mike Parkin. “O invasor não se importa com quem na organização morde a isca, desde que consiga alguém no espaço-alvo.” Apesar de ser um método de ataque que existe há muitos anos, ainda é usado hoje, pois cai no ponto ideal de esforço e eficácia para os cibercriminosos, acrescenta Parkin. “Esses ataques podem usar um gancho oportuno, como um evento esportivo local ou a abertura de um novo restaurante nas proximidades, que a organização visada acharia plausível e passaria por filtros de spam em massa. Algo assim requer muito menos pesquisa do que criar um gancho que possa pegar um único indivíduo. Uma vez que um invasor tenha um ponto de apoio, ele pode expandir sua posição no ambiente da organização.”

Comentários

You Might Also Like

CISA, NSA e MS-ISAC lançam comunicado sobre o uso malicioso de software RMM

Atlassian lança atualização de segurança para servidor e data center Confluence

VMware lança alerta de segurança para vCenter Server