2020-8-24

SECURITY

Perto de um terço dos ataques bem-sucedidos usam ferramentas legítimas

Estudo revela que 30% dos ataques bem-sucedidos envolveram ferramentas legítimas de gestão e administração remota, por exemplo

Perto de um terço dos ataques bem-sucedidos usam ferramentas legítimas

Quase um terço (30%) dos ciberataques investigados pela equipa da Kaspersky Global Emergency Response, em 2019, envolveram ferramentas legítimas de gestão e administração remota. Segundo o relatório “Incident Response Analytics” da Kaspersky, os cibercriminosos podem permanecer indetetáveis durante um longo período de tempo. Por exemplo, os ataques contínuos de ciberespionagem e roubo de dados confidenciais tiveram uma duração média de 122 dias.

O software de monitorização e gestão ajuda os administradores de IT e de rede a executar tarefas diárias, tais como a resolução de problemas e a prestação de apoio técnico aos colaboradores. No entanto, os cibercriminosos também podem aproveitar estas ferramentas legítimas para atacar a infraestrutura de uma empresa. Este software permite-lhes executar processos em endpoints, aceder e extrair informação sensível, contornando vários controlos de segurança destinados a detetar malware.   

Segundo o novo relatório da Kaspersky, no total, a análise de dados anonimizados de casos de resposta a incidentes (IR) mostrou que 18 ferramentas legítimas foram utilizadas por cibercriminosos para fins maliciosos. A mais utilizada foi a PowerShell, a registar 25% dos casos. Esta poderosa ferramenta de gestão pode ser utilizada para muitos fins, desde a recolha de informação até ao desenvolvimento de malware. Já o PsExec foi aproveitado em 22% dos ataques - esta aplicação destina-se ao lançamento de processos em endpoints remotos -  seguindo-se o SoftPerfect Network Scanner (14%), que se destina a recuperar informações sobre ambientes de rede.  

É difícil para as soluções de segurança detetar ataques conduzidos com ferramentas legítimas, uma vez que estas ações podem fazer parte de uma atividade de cibercrime planeada ou de uma tarefa regular do administrador de sistemas. Por exemplo, os ataques contínuos de ciberespionagem e roubo de dados confidenciais tiveram uma duração média de 122 dias. Como não foram detetados, os cibercriminosos conseguiram recolher dados sensíveis das vítimas.

No entanto, os investigadores da Kaspersky indicam que, por vezes, é fácil perceber quando são realizadas ações maliciosas com software legítimo. Por exemplo, os danos de um ataque de ransomware através de software legítimo são frequentemente visíveis. A duração média de ataques curtos foi de um dia.

"Os atacantes utilizam software desenvolvido para a atividade normal do utilizador, tarefas de administrador e diagnósticos do sistema, de modo a não serem detetados e permanecerem invisíveis numa rede comprometida, durante o máximo de tempo possível. Com estas ferramentas, os atacantes podem recolher informações sobre redes empresariais e depois realizar movimentos laterais, alterar configurações de software e hardware ou até mesmo realizar uma ação maliciosa. Por exemplo, podem utilizar software legítimo para encriptar dados de clientes. O software legítimo também pode ajudar os atacantes a permanecerem por baixo do radar dos analistas de segurança, uma vez que muitas vezes só detetam o ataque depois de o dano ter sido feito. Embora não seja possível excluir estas ferramentas por muitas razões, os sistemas de registo e monitorização devidamente implantados podem ajudar a detetar atividade suspeita na rede e ataques complexos em fases iniciais", comenta Konstantin Sapronov, Head of Global Emergency Response Team da Kaspersky.

ARTIGOS RELACIONADOS

Investimento em cibersegurança vai crescer 6%
SECURITY

Investimento em cibersegurança vai crescer 6%

LER MAIS

Investimentos em cibersegurança impulsionados por trabalho remoto
SECURITY

Investimentos em cibersegurança impulsionados por trabalho remoto

LER MAIS

Canalys distingue os principais fornecedores de cibersegurança
SECURITY

Canalys distingue os principais fornecedores de cibersegurança

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.