Cibercrime: 30% dos ataques bem-sucedidos utilizaram ferramentas legítimas

Quase um terço (30%) dos ciberataques investigados pela equipa da Kaspersky Global Emergency Response, em 2019, envolveram ferramentas legítimas de gestão e administração remota.

De acordo com o relatório «Incident Response Analytics» da Kaspersky, os cibercriminosos podem permanecer indetetáveis durante um longo período de tempo. Exemplo disso são os ataques contínuos de ciberespionagem e roubo de dados confidenciais «que tiveram uma duração média de 122 dias».

O software de monitorização e gestão ajuda os administradores de TI e de rede a executar tarefas diárias, tais como a resolução de problemas e a prestação de apoio técnico aos colaboradores. No entanto, os cibercriminosos podem tirar partido dessas ferramentas legítimas para atacar a infraestrutura de uma empresa. A verdade é que este software lhes permite executar processos em endpoints ou aceder e extrair informação sensível, «contornando vários controlos de segurança destinados a detetar malware», diz a Kaspersky.  

Segundo o novo relatório da empresa de cibersegurança, no total, a análise de dados anonimizados de casos de resposta a incidentes (IR) mostrou que 18 ferramentas legítimas foram utilizadas por cibercriminosos para fins maliciosos.

Entre estas, a mais utilizada foi a PowerShell que registou «25% dos casos». Esta ferramenta de gestão pode ser utilizada para muitos fins, desde a recolha de informação até ao desenvolvimento de malware. Já o PsExec foi aproveitado em 22% dos ataques – a aplicação destina-se ao lançamento de processos em endpoints remotos –  seguindo-se o softPerfect Network Scanner (14%), que se destina a recuperar informações sobre ambientes de rede. 

Diz a Kaspersky que é difícil «para as soluções de segurança detetar ataques conduzidos com ferramentas legítimas, uma vez que estas ações podem fazer parte de uma atividade de cibercrime planeada ou de uma tarefa regular do administrador de sistemas».

No entanto, os investigadores da Kaspersky indicam que, por vezes, é fácil perceber quando são realizadas ações maliciosas com software legítimo. Por exemplo, os danos de um ataque de ransomware através de software legítimo «são frequentemente visíveis» e a sua duração média «foi de um dia».

---