Ataque Cibernético Direcionado ou Targeted Cyber Attack (TCA) refere-se a um tipo de ameaça em que os agentes maliciosos buscam e comprometem ativamente a infraestrutura de uma entidade que escolhem como alvo, mantendo o anonimato. Esses invasores têm um bom nível de especialização e têm recursos suficientes para conduzir suas atividades durante um período de longo prazo. Eles podem adaptar, ajustar ou melhorar seus ataques para combater as defesas de suas vítimas.

Como os cibercriminosos atuam

Os ataques direcionados geralmente empregam métodos semelhantes encontrados em ameaças on-line tradicionais, como e-mails maliciosos, sites comprometidos ou mal-intencionados, exploits e malware. Os ataques direcionados diferem das ameaças on-line tradicionais de várias maneiras:

• Os ataques direcionados geralmente são conduzidos como se fossem campanhas. Costumam ser realizados em uma série de tentativas fracassadas e bem-sucedidas ao longo do tempo, para se aprofundar cada vez mais na rede de um alvo e, portanto, não são incidentes isolados.
• Geralmente têm como alvo segmentos específicos da economia, como empresas, agências governamentais ou grupos políticos. Os invasores geralmente têm em mente objetivos de longo prazo, com motivos que incluem, mas não se limitam a obter ganho político, lucro monetário ou roubo de dados corporativos.

Os invasores geralmente personalizam, modificam e aprimoram seus métodos, dependendo da natureza do seu setor de seu alvo, para contornar quaisquer medidas de segurança implementadas.

Fases de um ataque direcionado

Coleta de informações.

Os agentes criminosos identificam e coletam informações disponíveis publicamente sobre seus alvos para personalizar seus ataques. Essa fase inicial visa obter informações estratégicas, não apenas sobre o ambiente de TI do alvo pretendido, mas também sobre sua estrutura organizacional. As informações coletadas podem variar desde aplicativos de negócios e software que uma empresa utiliza até sobre as funções e relacionamentos que existem no ambiente interno. Essa fase também utiliza técnicas de engenharia social, que avaliam eventos recentes, questões ou preocupações relacionadas ao trabalho e outras áreas de interesse para o alvo pretendido.

Ponto de entrada.

Os hackers podem usar métodos variados para se infiltrar na infraestrutura de um alvo. Os métodos mais comuns incluem e-mail personalizado de spear phishing, exploits de dia zero ou de software e técnicas de watering hole. Os atacantes também utilizam plataformas de mensagens instantâneas e redes sociais para induzir alvos a clicar em um link ou baixar malware. Eventualmente, conseguem estabelecer uma conexão com o alvo.

Comunicação de comando e controle (C&C).

Depois que a segurança foi violada, os agentes de ameaças se comunicam constantemente com o malware, para executar rotinas maliciosas ou coletar informações dentro da rede da empresa. Os atores maliciosos usam técnicas para esconder essa comunicação e manter seus movimentos sob controle.

Movimento lateral.

Uma vez dentro da rede, os agentes de ameaças se movem lateralmente pela rede para buscar informações importantes ou infectar outros sistemas valiosos.

Descoberta de ativos ou dados.

Ativos ou dados valiosos são identificados e isolados para futura extração de dados. Os agentes de ameaças têm acesso a “territórios” que contêm informações e ativos valiosos. Esses dados são então identificados e transferidos por meio de ferramentas como RATs (Trojans de Acesso Remoto) e ferramentas personalizadas e legítimas. Uma técnica possível usada neste estágio pode ser o envio de listas de arquivos em diretórios diferentes para que os invasores possam identificar o que é valioso.

Exfiltração de Dados.

Esse é o objetivo principal dos ataques direcionados. O objetivo de um ataque sempre é coletar informações importantes e transferi-las para um local controlado pelos invasores. A transferência desses dados pode ser realizada de forma rápida ou gradual. Os ataques direcionados se esforçam para não serem detectados na rede, a fim de obter acesso às joias da coroa ou a dados empresariais que possam ter algum valor. Esses dados valiosos incluem propriedade intelectual, segredos comerciais e informações de clientes. Além disso, os agentes de ameaças também podem buscar outros dados confidenciais, como documentos ultrassecretos de instituições governamentais ou militares.

Depois que um ataque direcionado foi bem-sucedido e atingiu o estágio de exfiltração de dados, não é difícil para os invasores extraírem os dados. Embora os ataques direcionados não sejam conhecidos por visarem especificamente os consumidores, seus dados também correm risco, uma vez que áreas de negócios de uma organização foram infiltrados. Como resultado, se forem bem-sucedidos, esses ataques podem prejudicar a reputação de uma empresa e causar prejuízos econômicos e financeiros relevantes.

Por que as organizações devem se preocupar?

Pesquisas apontam que o impacto mais comum dos ataques direcionados é a perda de dados financeiros. As crescentes aspirações dos cibercriminosos em buscar lucros maiores e o aumento do “hacktivismo” levaram a ataques mais direcionados. Dessa forma, não é de se surpreender que os dados financeiros sejam o ativo sobre o qual os cibercriminosos estão mais interessados. Em seguida, o objetivo é voltado a acessar dados pessoais e de propriedade intelectual. Em resumo: a violação de dados é um acontecimento muito caro para qualquer organização.

Como sua organização pode se proteger?

As empresas devem ir além da proteção tradicional. A melhor providência no combate a ataques direcionados é adotar funcionalidades de detecção proativa. A detecção antecipada é crucial na prevenção de ataques direcionados que causam vazamento de dados confidenciais da empresa. Para reduzir os riscos representados pelos ataques direcionados, as organizações públicas e privadas precisam de uma plataforma avançada de proteção contra ameaças, com tecnologia de classe mundial e que ofereça suporte de equipe com o domínio dos processos.