Como as cigarras digitais, os cibercriminosos aguardam antes de revelar sua presença

por | abr 23, 2024 | Não categorizado

Um paralelo curioso pode ser traçado entre cibercriminosos e o intrigante fenômeno das cigarras. Semelhantes aos insetos periódicos que emergem do solo após anos de dormência, os cibercriminosos frequentemente ressurgem com renovado vigor, desencadeando suas atividades disruptivas em organizações desprevenidas.

Períodos de aparente dormência podem ser seguidos por explosões repentinas de atividade de ataque, pegando organizações desprevenidas. Esses malfeitores digitais se mantêm discretos durante essas fases de dormência, adaptando-se às medidas de segurança em evolução e aprimorando suas técnicas nas sombras.

Os cibercriminosos procuram por vulnerabilidades em aplicativos, servidores e redes para infiltrar organizações. Eles exploram falhas no código de software para acessar sistemas e realizar operações ilícitas, fingindo ser usuários legítimos. Eles prontamente usam um caminho de exposição como ponto de entrada para penetrar em um sistema. Eles usam muitas outras táticas, incluindo engenharia social, como comprometimento de e-mail comercial (BEC), spoofing de DNS, phishing, spear phishing e outras armadilhas, para atrair funcionários ou clientes a revelar informações sensíveis ou instalar malware. Eles também usam bots de raspagem da web para extrair conteúdo e dados de sites e replicar o conteúdo do site em outro lugar para seus propósitos nefastos.

ESCONDIDO ÀS CLARAS

Os cibercriminosos podem permanecer escondidos dentro da infraestrutura digital de uma organização por meses e até anos. Seus objetivos variam desde realizar reconhecimento para futuros ataques, exfiltrar dados e extorquir dinheiro de suas vítimas.

Uma das maneiras pelas quais os cibercriminosos se escondem à vista é ao ocultar dados maliciosos dentro de arquivos legítimos. Eles incorporam dados em imagens, textos e arquivos de áudio, tornando-os normais para evitar detecção. Para encontrar essas anomalias, os defensores corporativos usam produtos de segurança especializados e ferramentas que procuram por mudanças no tamanho do arquivo. Eles podem analisar dados ocultos dentro de arquivos de texto, esconder informações dentro de imagens e vídeos e modificar sinais de áudio dentro de arquivos de áudio para discernir anormalidades.

Os cibercriminosos também usam serviços de nuvem roubados ou legítimos para hospedar sites maliciosos ou enganosos e downloads de malware, coordenar o tráfego de botnets e armazenar temporariamente dados roubados. Eles empregam criptografia, ofuscação e serviços de proxy para ocultar suas identidades e localizações. Por exemplo, atores maliciosos exploram secretamente vulnerabilidades ou exposições em sistemas de informação de saúde e dispositivos médicos. Eles também visam infraestrutura crítica, como usinas de energia, sistemas de transporte ou estações de tratamento de água, para causar interrupção, danos ou demandas de resgate. Nenhuma indústria está imune ao seu flagelo.

O timing pode ser muito estratégico para liberar suas cargas maliciosas em um momento que atenda aos seus objetivos. Eles monitoram a postura de segurança, a atividade de rede e as capacidades de resposta de seus alvos para encontrar o momento ideal para atacar. Eles podem esperar por um evento específico, como um feriado, um desastre natural, ou durante uma crise ou tensão política, para maximizar o impacto ou a probabilidade de pagamento.

Os cibercriminosos continuam a evoluir suas táticas, técnicas e procedimentos (TTPs), abandonando métodos antigos e adotando novos para se manterem à frente das defesas cibernéticas. Assim como as mudanças nos estágios de vida das cigarras que passam por metamorfose durante sua existência subterrânea, a adaptabilidade dos cibercriminosos permite que eles permaneçam uma ameaça persistente.

As cigarras criam um zumbido perturbadoramente alto para anunciar sua emergência. Da mesma forma, os cibercriminosos geram interrupção e caos dentro do ecossistema digital de uma organização quando o ataque é descoberto. Seja um ataque de ransomware paralisando uma instalação de saúde ou uma campanha de phishing explorando vulnerabilidades humanas, o impacto ecoa através da teia interconectada de nossas vidas digitais.

Os cibercriminosos frequentemente operam coletivamente, compartilhando táticas e ferramentas na dark web. Essa coordenação lhes permite amplificar seu impacto, criando ondas de ciberataques, como negação distribuída de serviço (DDoS), que podem sobrecarregar mesmo as medidas de segurança cibernética mais robustas.

ESTAR PREPARADO PARA O INEVITÁVEL

As organizações podem adotar uma abordagem pró-ativa e adaptativa para sua estratégia de cibersegurança para estar preparadas para o ressurgimento inevitável das ameaças cibernéticas. Isso significa:

Monitorar e analisar continuamente o cenário de ameaças, usando feeds de inteligência de ameaças, plataformas de segurança e provedores de serviços para coletar informações sobre vulnerabilidades emergentes, tendências e indicadores de comprometimento.

Identificar e priorizar os ativos, sistemas e dados mais críticos que devem ser protegidos com base nos objetivos de negócios da organização, apetite ao risco e requisitos de conformidade.

Implementar e atualizar controles e soluções de segurança alinhados com os objetivos de segurança da organização, políticas e padrões. Estes incluem diversas medidas preventivas, detectivas e reativas, como firewalls, teste de penetração, criptografia, backup de dados, EDR, SOAR e tecnologia de engano.

Automatizar e otimizar processos e fluxos de trabalho de segurança usando ferramentas e plataformas que permitem orquestração, automação e resposta de segurança. Isso pode reduzir erros humanos, melhorar eficiência e escalabilidade e aprimorar as capacidades de detecção e resposta a incidentes.