Por que se preocupar com os Exploit Kits?

Os Exploit Kits se tornaram o principal framework utilizado pelos ciberatacantes devido à sua fácil operação e alta rentabilidade. Entre as suas principais habilidades, destacam-se: a exploração de vulnerabilidades conhecidas e desconhecidas em softwares de navegação Web, bem como capacidades evasivas para evitar sua descoberta e filtragem de endereços IP, que redirecionam o tráfego da vítima.

Atualmente, é a principal ferramenta para disseminação de Ransomware – que apresenta vertiginoso crescimento nos últimos meses. Isso por que não requer expertise e são consideradas práticas plataformas de ataque. Os Exploit Kits já se mostram codificados e prontos para o uso, além de serem munidos por um painel de gerenciamento, pelo qual o atacante realiza as alterações necessárias e viabiliza o acesso.

No momento em que adquire a tecnologia, o ciberatacante pode escolher se irá comprar a plataforma ou locá-la – o que é conhecido como Exploit As a Service. Este atacante recebe suporte técnico, caso não saiba como manusear a ferramenta ou precise de configurações mais avançadas. Há também opção de escolha sobre o tipo de malware que será entregue: trojans bancários, InfoStealers, Ransomwares, e até ferramentas de Acesso Remoto (RAT, sigla em inglês).

Os números do ataque —Conhecido como Crime As a Service, os ataques realizados a partir de Exploit Kits costumam ser alugados. De acordo com uma pesquisa do InfoSec Institute, comprar a plataforma pode custar entre US$ 20 e US$ 30 mil. Por isso, alugá-la por US$ 500 ao mês, tem sido uma prática recorrente dada à acessibilidade.

Em um período de 24h, cerca de 9 mil Exploits são entregues – uma média de 90 mil novos alvos entre campanhas de spams, servidores comprometidos e malvertising, ao dia. 40% deles conseguem, com sucesso, infectar as máquinas e, em mais de 60% dos casos, elas são invadidas com Ransomwares, como TeslaCrypt, Locky e SamSa Ransomware.

Visto que o Ransomware possibilita a extorsão cibernética em troca de ganhos financeiros, em alguns casos de invasão, o resgate acaba efetivamente pago pela vítima, sem garantias de que seu ambiente operativo será devolvido.

Quais são os desafios e as soluções? Por ser uma estrutura complexa de ataque, ferramentas dotadas de indicadores conhecidos em Endpoint ou de detecção retroativa em Sandboxes, que apenas enviam artefatos desconhecidos à nuvem e são atualizados em determinados períodos, não são recomendadas – uma vez que são técnicas demasiadamente lentas para proteção em cenário real, e a verdadeira detecção requer reconhecimento das técnicas de Exploits no momento em que acontecem.

Para acompanhar as inovações dos atacantes, que ora alteram os códigos e ora melhoram as técnicas evasivas, é preciso utilizar uma plataforma completa de soluções e serviços com a função de erradicar os riscos deste ambiente – agregando proteção em tempo-real e replay de tráfego da conexão maliciosa, com registro do redirecionamento dos envolvidos, tentativas de evasão e análise de payloads.

Esta proteção proveniente do relacionamento entre os vetores de entrada em um único console permite uma análise contextualizada, a qual é atribuída à inteligência contra ataques em tempo real e que ajuda a responder: quem é o atacante?Como acessou o ambiente? Quais sistemas foram comprometidos? Ainda está logado?

É recomendado adotar os seguintes passos para proteger o ambiente de sua empresa: . Ter uma política de updates de patches em seu ambiente;

. Manter atualizadas ferramentas de proteção em Endpoints (Endpoint Prevention Plataform - EPP), como Antivírus e Host IPS;

. Correlacionar eventos dos mais diversos vetores, que reflitam cenários de ataque;

. Desenvolver um plano de resposta a incidentes, pois deve-se ter em mente quando vai acontecer e não se vai acontecer.

. Por: Priscila Viana, engenheira de sistemas da FireEye Brasil. Com mais de 15 anos de experiência em segurança da informação, é especialista em Malwares avançados e na área de ameaças avançadas persistentes.