Por João Farinha, Head of Audit na S21sec
As empresas são um alvo preferencial dos cibercriminosos, quer pelo volume de dados críticos e valiosos que alojam, quer pelas possibilidades de lucro que proporcionam aos atacantes. Muitas delas acabam mesmo por sofrer sérios danos na sua reputação depois de um ataque, sendo que esta consequência é muitas vezes mais difícil e morosa de reparar do que uma perda económica direta. Para minimizar os efeitos, é muito importante começar, desde logo, por estar a par do panorama atual das ciberameaças, de forma a adaptar a estratégia de cibersegurança à evolução constante do cibercrime.
Identifico neste artigo os tipos de ataque que mais frequentemente surgem nas nossas ações de resposta a incidentes.
Password Spraying e comprometimento de contas de email
Este tipo de ataque tem como ponto de partida a recolha de informação disponível de forma pública sobre a organização que um atacante pretende atacar. São pesquisadas as redes sociais, os motores de pesquisa, as bases de dados de credenciais expostas em fugas de informação, entre outras fontes de informação disponíveis para um atacante.
O objetivo nesta fase é identificar o maior número possível de contas de correio eletrónico da organização, que servirão como alvo primário de ataque. A informação recolhida serve ainda para identificar pessoas de interesse (com papéis importantes na organização, nomeadamente nas áreas das TI, da gestão de topo, da logística e financeira), que serão utilizadas em fases mais avançadas do ataque.
Nesta fase é também identificado que tipo de infraestrutura de correio eletrónico é utilizada pela organização. Na maioria dos casos, encaixam-se numa de duas possibilidades: servidores geridos e alojados pela própria organização, com exposição para a Internet (para acesso remoto) ou serviços baseados na Cloud (como o Office 365 ou a Google Suite).
O ataque de password spray é uma variante de um ataque clássico de ataque de força bruta, em que eram testados milhares de palavras-passe diferentes para cada conta, na tentativa de encontrar a correta. Uma vez que a maioria das organizações implementa atualmente limitações no número de tentativas de autenticação erradas, após as quais a conta é bloqueada, no ataque de password spraying é utilizada a mesma lista de 2 ou 3 palavras passe frequentes, mas tentadas em todas as contas que foram descobertas na fase de reconhecimento. Com uma boa escolha dessas 2 ou 3 palavras-passe, e desde que a amostra de contas de correio eletrónico seja razoável, a probabilidade de sucesso é surpreendentemente alta.
Este tipo de ataques é muitas vezes prolongado no tempo, com o atacante a manter a empresa sob vigilância durante meses, reunindo informação suficiente para lançar um ataque na altura certa, normalmente de modo a obter ganhos financeiros ao forçar transações para contas bancárias controladas por si.
Engenharia Social (Spear-Phishing)
Por vezes os ataques de spraying não são bem-sucedidos. Nesse caso, utilizando como base a mesma lista de endereços de correio eletrónico obtida na fase de reconhecimento, é lançada uma campanha de spear-phishing dirigida à organização, em que são criadas mensagens de email muito dirigidas, com recurso a temas adaptados à organização em causa. Este tipo de ataques, apesar de aumentar a probabilidade de o atacante ser detetado, têm uma taxa de sucesso muito elevada (da nossa experiência prática, são comuns resultados de comprometimento de credenciais na ordem dos 20 a 30% dos destinatários).
A partir do momento em que são obtidas essas credenciais, são usados métodos para identificar e comprometer mais contas, normalmente através do envio de mensagens a partir das contas internas comprometidas.
Há ainda uma variante deste ataque, em que na mensagem de correio eletrónico é embebida uma imagem alojada num servidor na Internet controlado pelo atacante. A forma como é feita a ligação para esta imagem faz com que o dispositivo atacado, ao tentar obter a imagem, envie uma mensagem para o servidor que inclui a password do utilizador numa forma codificada, que é possível descodificar com base em ataques de força bruta.
Dispositivos USB maliciosos
Este tipo de ataque requer acesso físico à máquina a atacar, o que é trivial em muitas organizações, por exporem portas USB de postos de trabalho em zonas de acesso público (por exemplo os postos de trabalho em zonas de atendimento ou de receção).
O dispositivo atacante pode ser um dispositivo com a aparência de uma flash drive comum, mas que efetivamente funciona como um teclado em que o atacante estaria a introduzir o conjunto de comandos necessário para comprometer o dispositivo.
Neste caso exemplificativo, em menos de dois segundos, e de forma impercetível para o utilizador do posto de trabalho, é possível lançar uma sessão de controlo remoto para uma máquina controlada pelo atacante ligada através da Internet. A partir daí, já confortavelmente instalado longe das instalações comprometidas (e não correndo o risco de ser apanhado), o atacante pode conduzir os passos seguintes do ataque, até conseguir comprometer toda a rede da organização.
Em resumo
Estes ataques, embora nem sempre possíveis em todas as organizações, são muito frequentes. Cabe às organizações implementar formas de os prevenir e detetar, e assegurar a realização de testes periódicos controlados para assegurar que os controlos implementados funcionam. É nesse papel que surgem os serviços de Red Team, que utilizam as mesmas metodologias utilizadas pelos atacantes para testar os controlos técnicos, os procedimentos implementados e as equipas de segurança da organização. As organizações militares já o sabem há séculos: não se pode esperar por ser confrontado pelo inimigo para testar a sua capacidade de resposta aos ataques. É necessário treinar regularmente, em condições controladas, mas as mais aproximadas possíveis da realidade.
