Como se defender contra ataques de grupos ameaçadores

Não é nenhum segredo que as ameaças à segurança cibernética estão aumentando para organizações de todos os tamanhos e setores. As autoridades de segurança cibernética dos EUA, como a CISA, a NSA e o FBI, estão cientes dos relatórios recentes sobre o aumento da atividade cibernética maliciosa e esperam que esta tendência continue. As organizações enfrentam lacunas e pontos fracos de segurança devido a uma colcha de retalhos de produtos e ferramentas de TI com pouca visibilidade e uma falsa sensação de segurança. Além da escassez de pessoal de TI, a expansão das superfícies de ataque, como a computação em nuvem e o trabalho em qualquer lugar, permite que os agentes de ameaças expandam seu alcance e seus danos. Os cibercriminosos perceberam esses desafios e estão vigilantes para explorá-los. Uma compreensão mais profunda dos invasores pode ajudar a detectar e responder melhor a essas ameaças persistentes.

O que são grupos de ameaças cibernéticas

Grupos de ameaças cibernéticas são invasores que operam de maneira coordenada e sincronizada. Esses grupos adversários continuam a transformar seu comportamento e suas táticas, técnicas e procedimentos (TTPs) para evitar a detecção. As características dos grupos de ameaças incluem organização, sincronização, bem treinados e bem financiados, paciência para atingir seus objetivos nefastos e fazer parte de um ecossistema criminoso. À medida que os grupos de ameaças aparentemente desaparecem ou são eliminados pelas autoridades globais, novos grupos com TTPs e ferramentas de ransomware semelhantes reaparecem rapidamente.

Tipos de grupos de ameaças

Os grupos de crimes cibernéticos comportam-se como empresas legítimas, com formação, incentivos, promoções e apoio ao cliente. Muitos grupos de ameaças existem há anos, aprimorando suas habilidades de exploração ao longo do tempo. Existem três tipos principais de grupos de ameaças:

1. Atacantes com motivação financeira (FINs): esses grupos usam vetores de ameaças, como e-mails de phishing, ransomware e cliques fraudulentos, para monetizar seu trabalho. O crime cibernético é extremamente lucrativo e de risco relativamente baixo. Estes atacantes financeiros são pacientes, utilizam técnicas “baixas e lentas” e aproveitam-se da natureza humana e da engenharia social para explorar as vítimas. EXEMPLO: o roubo na rede financeira SWIFT e no Banco de Bangladesh foi atribuído ao REvil, também conhecido como Sodinokibi e GandCrab.
2. Adversários do Estado-nação (APTs): esses invasores bem financiados usam espionagem e roubo cibernético para exfiltrar informações confidenciais, como propriedade intelectual, para promover os objetivos e a agenda política do país. Se não fizerem realmente parte do governo, podem obter apoio cúmplice num ambiente permissivo. Os adversários dos Estados-nação utilizam Ameaças Persistentes Avançadas (APTs) para as suas atividades nefastas e são conhecidos por permanecerem à espreita durante muitos meses para atingir os seus objetivos. EXEMPLO: a gangue Nobelium conhecida como APT 29 é considerada responsável pelo ataque à SolarWinds que visava perturbar milhares de vítimas inocentes.
3. Hacktivistas: embora menos frequentes do que atores motivados financeiramente e adversários de estados-nação, eles ainda assim causam estragos em empresas e governos. Os hacktivistas são motivados por ideologias políticas e sociais e para promover agitação ou mudanças públicas. EXEMPLO: o ataque à Sony Pictures como retribuição por impedir o lançamento de um filme que não faz jus à Coreia do Norte.

O comércio e as motivações dos adversários com mentalidade financeira e dos criminosos do Estado-nação estão a confundir-se. Os governos estaduais utilizam o crime eletrónico para financiar operações governamentais e contornar sanções económicas.

Identificação do grupo de ameaças

É um desafio identificar uma entidade, organização ou país responsável por um ataque adversário específico. O conhecimento e a percepção dos TTPs dos grupos de ameaças são úteis para defender melhor sua infraestrutura. Os grupos de ameaças são frequentemente chamados por nomes diferentes entre fornecedores, indústria e autoridades policiais, tornando ainda mais complicado entender suas motivações e táticas. O APT 41, com suas supostas ligações com o Ministério de Estado Chinês (MSS), também é conhecido como BARIUM e Wicked Spider. MITRE ATT&CK® é uma base de conhecimento de táticas adversárias baseadas em observações do mundo real. O banco de dados também descreve grupos de ameaças e gangues criminosas para análises e insights práticos de segurança.

Dissecar o comportamento do adversário para fortalecer as defesas.

A Corporação MITRE

Pequenas e médias empresas são alvos atraentes

As pequenas e médias empresas (SMBs) podem pensar que são demasiado pequenas para serem alvo de atacantes, mas isso está longe de ser verdade. Os cibercriminosos têm como alvo muitas empresas e as pequenas e médias empresas podem ser alvo de sua propriedade intelectual, contatos na cadeia de suprimentos ou vulnerabilidades de segurança percebidas. Os adversários costumam usar ferramentas e serviços legítimos que escapam à detecção, como descobriu nosso Centro de Operações de Segurança. Os invasores sabem que organizações grandes e pequenas estão focadas em proteger a reputação de suas marcas e provavelmente pagarão um resgate cibernético. Ataques furtivos e sofisticados contra provedores de serviços permitem que os criminosos ampliem e obtenham um ROI maior por seus esforços. Então, como podem as empresas compreender grupos de ameaças bem financiados e proteger-se eficazmente?

Como você pode se defender contra adversários e ataques furtivos

Aqui estão algumas etapas de mitigação recomendadas pela CISA para prevenir, detectar e responder a atividades de segurança suspeitas ou possíveis incidentes:

• Evite o que puder implementando um programa de conscientização sobre engenharia social em sua organização
• Use senhas diferentes para contas comerciais e pessoais
• Segregar redes internas
• Aplicar o princípio do menor privilégio
• Desative ou bloqueie serviços e aplicativos remotos desnecessários
• Proteja e monitore o uso do Remote Desktop Protocol (RDP)
• Aplicar prontamente patches e atualizações de software para evitar exploração
• Habilite ou melhore os processos de monitoramento e registro
• Implante soluções robustas de segurança cibernética para reduzir sua superfície de ataque

A inteligência de ameaças reduz a superfície e o risco de ataque

Os cibercriminosos têm uma ampla gama de motivos e métodos e os seus riscos não podem ser ignorados. O conhecimento desses grupos de ameaças e de seu trabalho reduz a probabilidade de você se tornar vítima de um incidente de segurança dispendioso. Com a resiliência cibernética, as empresas podem prever, prevenir, detectar e responder melhor a ameaças dinâmicas. Netsurion ajuda você a prever, prevenir, detectar e responder a ataques adversários com uma solução XDR aberta e gerenciada. A visibilidade abrangente e a busca proativa de ameaças ajudam a protegê-lo contra agentes de ameaças furtivos.