A economia informal do cibercrime – não seja a próxima vítima

IMG_0277_scaled-e1573495477153.jpg
Paolo Passeri *
08/11/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Paolo Passeri *

Uma tendência emergente na economia informal é a comercialização de acesso inicial, na qual os cibercriminosos conseguem o ponto de entrada para invadir organizações por meio de VPN (rede privada virtual) ou RDP (protocolo de área de trabalho remoto) comprometidos para vender ou oferecer como serviço a outros criminosos em fóruns. Essa terceirização permite que os atacantes se concentrem na fase de execução de um ataque sem ter que se preocupar em como entrar na rede da vítima. 

A popularidade desses “corretores de acessos” é alimentada por vários fatores, como o aumento da exposição dos serviços devido à alta do trabalho remoto e a adoção acelerada da nuvem sem priorizar a segurança. A dispersão da força de trabalho deixou os usuários remotos mais vulneráveis ao phishing, que surgem também em novas formas, como o phishing OAuth, e as contas em nuvem são agora alvos ainda mais cobiçados por agentes maliciosos. 

Os criminosos também tiveram uma ajuda inesperada da onda de aumento de ataques que atingiu toda tecnologia de acesso remoto, uma tendência que começou no final de 2019 e continua incessantemente. Muitas vulnerabilidades críticas foram exploradas para concluir ataques de ransomware ou realizar operações de espionagem cibernética, agravando ainda mais a situação. Até mesmo sistemas expostos diretamente na Internet serviram de alvo para os atacantes. 

Segundo o relatório Threat Landscape da Nuspire, as explorações de vulnerabilidades em tecnologias tradicionais de acesso remoto estão atingindo novos recordes. Entre eles está o pico de 14 milhões de tentativas de ataques com força bruta para descoberta de logins em dispositivos que operam em protocolo de rede SMB (Server Message Block), aka Common Internet File System (CIFS). Essa tática é usada com frequência por ser fácil e automatizada e representa 69,73% de todas as tentativas de exploração no primeiro trimestre de 2021. 

Sem surpresas, a exploração do RDP é uma das ações recorrentes da pandemia. A ESET detectou quase 29 bilhões de ataques de força bruta ao RDP durante 2020, revelando um aumento de 768% em relação ao ano anterior. Um servidor de RDP mal configurado ou vulnerável, direcionado para a Internet, expõe as organizações a múltiplos riscos, incluindo ransomware, e esse tipo de exposição se tornou uma tendência nas cargas de trabalho na nuvem pública. 

Como mitigar os fatores de risco 

Há várias medidas que podem ser implementadas para mitigar os riscos apresentados por dispositivos vulneráveis de acesso remoto, serviços públicos ou mesmo aplicações em nuvem mal configuradas.

O acesso zero trust, baseado no conceito de “confiança zero”, oferece uma alternativa de entrega em nuvem às VPNs tradicionais ao permitir que os recursos sejam publicados de forma simples e segura, evitando a exposição direta de serviços, como RDP, SMB ou SSH (Secure Shell Protocol) e teoricamente, qualquer serviço on premises. É possível publicar e segmentar praticamente qualquer aplicação localizada em um data center local ou em uma nuvem privada ou pública, sem abrir qualquer serviço de entrada que possa ser sondado e eventualmente explorado por criminosos.  

Também não há necessidade de dispositivos de hardware on premises para instalar, corrigir e manter, o que evita problemas de escalabilidade e gargalos de desempenho. Além disso, uma verificação da postura de segurança do endpoint precisa ser aplicada antes de acessar a aplicação alvo, como uma forma mais inteligente e segura de fornecer conectividade remota no “novo normal”. 

Uma solução CASB (Cloud Access Security Broker) pode detectar contas comprometidas e desvios no padrão de comportamento dos usuários em SaaS (software como serviço), identificando aplicativos OAuth maliciosos com excesso de permissões usadas para realizar esse tipo específico de ataque de phishing. Da mesma forma, uma solução de gerenciamento de postura de segurança em nuvem (CSPM) consegue detectar configurações errôneas similares em serviços IaaS (infraestrutura como serviço), reduzindo os riscos de exploração de vulnerabilidades.  

Em face das evidências comprovadas pelos estudos de mercado, fica claro o quão vital é proteger as redes dos “access brokers” como forma de limitar a exposição de serviços desprotegidos a invasores cibernéticos terceiros. A adoção de soluções e arquiteturas robustas de segurança para mitigar ataques é também um passo estratégico essencial e prioritário para preservar as organizações nesse cenário crescente de economia informal do cibercrime.

*Paolo Passeri é diretor de inteligência cibernética da Netskope. 

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)