Ameaças persistentes avançadas

Pelo menos uma vez, você já deve ter se deparado com algum tipo de ameaça virtual no seu computador. Isso é muito comum e existem vários tipos e formas de infecção via internet, como é o caso das ameaças persistentes avançadas.

Recentemente, publicamos em nosso blog alguns artigos em que abordamos ameaças do tipo malware, como spyware, adware, trojan e ransonware e te ensinamos como se proteger contra elas.

Neste artigo, vamos te apresentar um dos tipos mais novos e perigosos de ataque, a ameaça persistente avançada. Ela é silenciosa e busca atacar empresas de grande porte e órgãos do governo, devido aos seus dados de alto valor.

Quer saber mais? Então continue acompanhando!

 

O que são ameaças persistentes avançadas?

O termo ameaças persistentes avançadas (APT – Advanced Persistent Threats) é utilizado para descrever um determinado tipo de ameaça cibernética, especialmente focado em espionagem via internet. São descritos como persistentes, pois na maioria das vezes são invasores contratados para atacar determinada organização e as tentativas de invasão só irão cessar após o objetivo final ser atingido, o que pode às vezes demorar meses.

Os hackers fazem uso de várias técnicas para coletar informações, podendo realizar ataques por meio de injeção de SQL, malwares, spywares, phishing, spam, etc. As informações que se pretende coletar são dados consideradas valiosas, como propriedade intelectual, informações sigilosas de funcionários ou clientes (como dados bancários), pois o agente espião dedica de muito tempo e recursos para acessá-los.

 

Características do APT

Ameaças Persistentes Avançadas passam facilmente despercebidas, pois seu foco de infecção não é uma rede inteira, mas sim um computador específico. Geralmente focam no dispositivo de um funcionário comum, mas que compartilha a rede com máquinas importantes.

Na maioria das vezes este tipo de ataque não começa atacando máquinas com informações mais valiosas, como o computador de um CEO (chief executive officer), pois podem ser muito bem protegidos, possuindo equipes e ferramentas de segurança para cuidar destes.

Assim, já estando dentro da rede os agentes podem, por exemplo, fazer envios de e-mail contendo spear phishing para os usuários que tenham acesso a essas informações valiosas.

Os ataques também se caracterizam por serem complexos, os hackers podem vir a controlar um grande número de servidores comprometidos para diferentes fins. Assim, diferentes pontos da infraestrutura-alvo são utilizados em diversas fases do ataque. Alguns para reconhecimento e testes, outros com foco em explorar as vulnerabilidades, compactar, criptografar ou enviar dados. Isso torna a detecção dos ataques mais difícil.

 

Estágios de um ataque APT

Um ataque por ameaça persistente avançada é dividido em três estágios, sendo que para que haja sucesso na invasão não pode ocorrer a detecção da ameaça em nenhum dos estágios. Abaixo listamos eles:

1) Infiltração: Os hackers entram na rede comprometendo segmentos como ativos web, recursos da rede ou usuários com privilégio de acesso. Para isso, usam uploads maliciosos via injeção de SQL ou técnicas de engenharia social. Nesse meio tempo também pode haver um ataque DDoS para servir como distração. Após a infiltração na rede os agentes instalam um backdoor, que pode ser em forma de trojans disfarçados de trechos de software legítimos. Deste modo, evitam a detecção por ferramentas de segurança.

2) Expansão: Já instalados na rede, os cibercriminosos podem acessar informações sensíveis ao negócio, como dados sobre lançamentos de produtos. Esses dados podem vir a ser vendidos a concorrentes, vindo a prejudicar a empresa.

3) Extração: Os dados extraídos ficam geralmente salvos em locais seguros dentro da própria rede da vítima. Quando os hackers obtêm o máximo de dados possível eles os exportam sem que sejam detectados. E para que isso ocorra, pode ser que, novamente, a empresa sofra um ataque DDoS. Isso ocorre, pois, com a segurança enfraquecida, se torna mais fácil realizar a extração sem que se perceba a ameaça.

 

Como se prevenir

A proteção contra ameaças persistentes avançadas, deve ser focada em duas frentes: boas práticas de uso corporativo da internet e do e-mail e investimento em tecnologia para automatizar essa proteção. Dessa forma, seria possível evitar ataques sem depender que os colaboradores da sua empresa sigam a risca a regras de boas práticas, embora elas continuem sendo muito importantes.

Quando falamos de tecnologia existem algumas opções. A HSC Brasil, como principal desenvolvedora de segurança da informação em território nacional, possui uma poderosa ferramenta para e-mail gateway com mais de 30 camadas de proteção. Além disso disponibiliza acesso à uma nuvem de proteção com mais de 700 mil ameaças catalogadas. Ela ajuda a identificar ataques em tempo real. Clique no banner para saber mais:

Antispam em Cloud

Assine nossa Newsletter!

Receba por e-mail os nossos melhores conteúdos sobre segurança da informação.

Ameaças persistentes avançadas: Como se proteger

tempo de leitura: 4 min