Com as informações obtidas, as empresas poderão compreender as ameaças atuais, como se desdobram e como se proteger contra elas
A Trend Micro, líder mundial em segurança na era da nuvem, lança o primeiro de uma nova série regular de relatórios trimestrais sobre ataques direcionados. A cada trimestre, este relatório observará tendências em detalhe, bem como se aprofundará em uma determinada campanha APT. Este primeiro relatório centra-se no segundo trimestre de 2013 e analisa em profundidade uma nova campanha já identificada e chamada de “EvilGrab”, que tem como alvo softwares de segurança e que usa sistemas de áudio e vídeo para capturar informações e realizar escutas.
Uma característica fundamental da campanha EvilGrab é o fato dela alvejar produtos de segurança específicos, que são o alvo do malware EvilGrab. Essa tática, cada vez mais comum, mostra que os responsáveis pelos ataques estão aprendendo sobre a infraestrutura de segurança de um alvo como uma parte regular de sua fase de coleta de informações. Essa tática foi vista também no recente ataque ao New York Times. Uma técnica muito interessante utilizada com o EvilGrab é o uso de áudio e vídeo para capturar dados. O EvilGrab usa software de captura de vídeo para roubar informações da tela de um sistema infectado. Ele também usa o microfone acoplado como um dispositivo de escuta secreta.
Os ataques direcionados neste trimestre focaram em entidades governamentais por uma larga margem. Os ataques mais comuns foram iniciados por meio de e-mail de spear phishing com arquivo anexos de arquivos .ZIP ou documentos .RTF.
Existem duas outras tendências interessantes observadas em e-mails de spear phishing neste trimestre:
- Em alguns casos, arquivos .EXE estavam anexados, mas responsáveis pelos ataques alteraram os ícones para parecerem com documentos ou pastas comuns, arquivos que os usuários tendem a ver como mais seguros que os arquivos executáveis.
- Há um aumento do uso de arquivos que fazem uso de técnicas de override de leitura da direita para a esquerda (RTLO) em Unicode para mascarar arquivos executáveis. Estes ataques abusam de uma característica significava para permitir que usuários leiam arquivos em idiomas que usam alfabetos da direita para a esquerda, como árabe ou hebraico.
A investigação detalhada do EvilGrab mostra que China, Japão, Estados Unidos, Canadá, França, Espanha e Austrália foram os principais países alvejados. Além disso, os ataques começam com mensagens de spear phishing. Ao contrário das tendências mais amplas, estes usaram documentos maliciosos anexados Microsoft Office ou Adobe Acrobat.
Extração de dados: Como os protagonistas destas ameaças roubam os dados
A extração de dados é o último estágio de um ataque direcionado, no qual os responsáveis pelo ataque roubam dados de uma rede que já conseguiram comprometer.
Existem quatro estágios de ataques direcionados:
- Estágio 1 ? Compilação de Inteligência
- Estágio 2 ? Ponto de Entrada
- Estágio 3 ? Comunicação de Comando e Controle
- Estágio 4 – Movimento lateral
Não existe uma solução única para interromper a fase de extração de dados de um ataque direcionado.
A Trend Micro recomenda cinco áreas de foco com base nas melhores práticas da indústria:
- Ter uma infraestrutura devidamente configurada incluindo:
-
- Esquema de armazenamento de dados segmentado
- Análise de informações de entrada e registro
- Modelo de menor privilégio para contas de usuários e estações de trabalho
- Certificação de que estratégias de proteção de dados estão sendo usadas para ajudar a proteger os dados contra acessos não autorizados para evitar perdas.
- Ter uma Equipe Multifuncional de Resposta a Incidentes que possa habilmente investigar evidências forenses e criar um plano claro de ação para mitigar o impacto do ataque
- Estabelecer e manter um programa ativo e permanente de inteligência de ameaças para manter-se ciente sobre ameaças atuais para que seja possível adaptar suas defesas para se igualar ao conhecimento dos responsáveis pelos ataques.
- Considerar um programa de testes de penetração para identificar e corrigir os pontos fracos que poderiam ser explorados por intrusos.
Para ler todos os artigos relacionados a esse tema e as mais em recentes pesquisas da Trend Micro em ameaças avançadas persistentes, visite o Hub de Ataques Direcionados.
Sobre a Trend Micro
Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro? SmartProtection Network?, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.