Evidências de um ciberataque: as pistas deixadas por um hacker

Com todos os benefícios trazidos por novas tecnologias, os hackers também buscam tirar algum proveito na busca por brechas e vulnerabilidades.

Os ataques se tornaram cada vez mais sofisticados e discretos e uma ameaça pode facilmente ocorrer sob a forma de um e-mail aparentemente não suspeito que carrega um link malicioso capaz de roubar todos os dados da máquina do usuário.

No entanto, mesmo com a variedade de ataques cibernéticos, a Trend Micro desvendou algumas pistas deixadas pelos hackers que podem ser de grande valia aos gestores de TI e às organizações.

De olho nas evidências — Analistas de segurança estudam profundamente o horário em que a ameaça se instalou, que tipo de informação foi roubada e para quem aquela informação poderia ser valiosa. Não importa o quão sutil um ataque possa parecer, as organizações ainda têm a oportunidade de corrigi-lo utilizando ferramentas ciberforenses para responder a tais questionamentos.

Conhecer o tipo de adversário, software e plataforma utilizados e para quem aquela ameaça foi endereçada ajuda uma empresa a entender melhor quais os canais mais efetivos para remediar um ataque.

Quantos autores estão envolvidos — O EyePyramide, malware ainda ativo no início de 2017, roubou 87GB de dados confidenciais visando mais de 18.000 contas de e-mail na Itália, nos EUA, na Europa e no Japão. Os autores? Dois irmãos que se utilizavam do malware para lucrar com os dados roubados de executivos C-level.

O laboratório de ameaças da Trend Micro identificou fraquezas que fizeram com que os hackers fossem, mais tarde, presos. Peculiaridades e técnicas específicas usadas pelo casal de irmãos levaram o casal de irmãos ao declínio.

Interações sociais — Muito frequentemente hackers fazem o uso de fóruns e outros meios para vender suas ferramentas. Essa interação em excesso pode ser também o caminho mais curto para o fim de suas atividades cibercriminosas.

Em julho de 2014, o Limitless Logger atacava máquinas frequentemente desabilitando controles de segurança e consequentemente capturando todo conteúdo digitado no teclado para roubar credenciais de acesso. Por meio desta interação social, a Trend Micro rastreou a atividade do hacker e descobriu até mesmo em qual semestre da universidade ele estava.

No início de 2016, o Banco do Bangladesh teve essa experiência em primeira mão. Os hackers violaram os sistemas da instituição e roubaram credenciais de transferência de pagamento. Com a invasão, foram feitos quase quarenta pedidos de transferência de dinheiro do banco para entidades nas Filipinas e no Sri Lanka. Após a quinta solicitação, um erro de ortografia chamou a atenção de um banco, fazendo com que as transações fossem examinadas. O erro impediu a fraude de US$ 1 bilhão, mas os hackers ainda conseguiram contornar a situação e causar um prejuízo de US$ 80 milhões.

Um passo à frente dos hackers — Organizações podem ser seriamente afetadas pelo cibercrime. No entanto, há uma série de maneiras de detectar ameaças em potencial e pará-las durante as tentativas antes que o estrago seja maior. As ferramentas de segurança modernas e bem implementadas também contribuem para que as empresas possam ter mais tranquilidade de que seus sistemas e dados estejam seguros das ameaças externas e também internas.

É imprescindível compreender que técnicas anti-segurança sempre serão desenvolvidas. Portanto é necessário investir em medidas, ferramentas, monitoramento e inteligência na análise de eventos para não somente bloquear as tentativas de ataque mas também detectar os comportamentos suspeitos antes que seja tarde.

. Por: Igor Valoto, Engenheiro de Vendas da Trend Micro Brasil.