Quase um terço (30%) dos ciberataques investigados em 2019 pela equipe global de Resposta a Incidentes da Kaspersky utilizaram ferramentas legítimas de administração e gerenciamento remoto. Com isso, os hackers se mantiveram escondidos por mais tempo, espionando ou realizando roubo de dados durante 122 dias, em média.
Softwares de monitoramento e gerenciamento remoto ajudam as equipes de rede e de TI nas tarefas diárias, como a solução de problemas e suporte técnico a funcionários. No entanto, essas ferramentas legítimas também podem ser exploradas em ciberataques. Uma vez dentro do sistema, os criminosos usam esses programas nativos para acessar e extrair informações sigilosas, sem serem percebidos pelos controles de segurança.
Nossa análise de dados anônimos de casos de Resposta a Incidentes (IR, sigla em inglês) mostrou que 18 ferramentas legítimas foram usadas para fins maliciosos. A mais comum é o PowerShell, que apareceu em 25% dos casos e pode ser usada para vários fins, da coleta de informações à execução de malware. Em segundo lugar, o PsExec, app de console para execução de processos em endpoints remotos, utilizado em 22% dos ataques. Em seguida o SoftPerfect Network Scanner, destinado à recuperação de informações sobre ambientes de rede, com 14% dos casos de uso.
Dificuldade de detecção
A execução de ataques por meio de ferramentas legítimas dificulta a detecção de ameaças pelas soluções de segurança, pois as ações relacionadas podem tanto ser parte de um cibercrime quanto uma tarefa normal do administrador do sistema. Exemplo disso é que, no segmento de ataques que duraram mais de um mês, o tempo médio dos incidentes foi de 122 dias. Como não eram detectados, os cibercriminosos podiam coletar dados sigilosos das vítimas.
Nossos especialistas observam porém que, em alguns casos, as ações maliciosas aparecem rapidamente, como nos ataques de ransomware, nos quais os danos são percebidos imediatamente. Nesses casos, o tempo médio de duração do incidente foi de um dia.
“Para evitar serem detectados, os cibercriminosos usam amplamente softwares já existentes. Com elas, é possível coletar informações sobre as redes corporativas e então realizar movimentos laterais, alterando as configurações de software e hardware ou até executar alguma ação maliciosa. Podem, por exemplo, usar um software legítimo para criptografar dados de clientes ou passarem desapercebidos pelos analistas de segurança. Por vários motivos, não é possível eliminar essas ferramentas, mas registros em log implementados corretamente e sistemas de monitoramento ajudam a detectar atividades suspeitas na rede e ataques complexos nos estágios iniciais”, explica Konstantin Sapronov, chefe da Equipe Global de Resposta a Incidentes da Kaspersky.
Para detectar e reagir a esses ataques rapidamente, as organizações devem, entre outras medidas, implementar uma solução de detecção e resposta (ERD) nos endpoints com um serviço de gerenciamento de detecção e resposta (MDR – Managed Detection and Response). A MITRE ATT&CK ® Round 2 Evaluation – que avalia diversas soluções, incluindo o Kaspersky EDR e o serviço de proteção gerenciada da Kaspersky – pode apoiar na escolha da solução EDR mais adequada às necessidades da empresa. Os resultados da ATT&CK Evaluation comprovam a importância de adoção desta solução, que associa um produto com várias camadas de segurança a um controle manual de ameaças.
Dicas para evitar ataques com software legítimos
- Limite o acesso de endereços IP externos a ferramentas de gestão remota e garanta que um número limitado de dispositivos tenha acesso às interfaces de controle remoto.
- Imponha uma política rígida de senhas para todos os sistemas de TI e implemente a autenticação de múltiplos fatores.
- Ofereça privilégios limitados às equipes e forneça contas com muitos privilégios apenas às pessoas que precisam delas para realizar seu trabalho.
A Kaspersky oferece duas soluções de categoria EDR: para grandes empresas ou estruturas maduras de segurança, o Kaspersky EDR fornece funcionalidades de investigação detalhadas e avançada com dados de inteligência de ameaças, busca de ameaças e resposta centralizada a ataques complexos em vários estágios. O Kaspersky EDR Optimum provê as principais funcionalidades de EDR – inclusive melhor visibilidade dos endpoints, análise simplificada de causas básicas e opções de resposta automatizada – para organizações com limitações de recursos e especialistas em cibersegurança.