Reaproveitamento de códigos de malware potencializam a criação de ataques ainda mais sofisticados, afirma empresa de cibersegurança
Programas de código aberto são valorizados pois não existe a necessidade de criar um código completamente novo mas, a partir do já existente, desenvolvedores o utilizam para potencializar as atuais necessidades. No entanto, de acordo com a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – essa técnica vem sendo utilizada por hackers.
A descoberta mostra que cibercriminosos reciclam e reaproveitam exploits antigos que funcionaram bem no passado para criar uma ameaça completamente nova. Ainda pior, muitas dessas ameaças reutilizadas são potencializadas com novas e sofisticadas estratégias de infecção, fazendo com que seja ainda mais difícil se proteger contra elas.
Ainda segundo a Trend Micro, recentes estatísticas foram divulgadas com relação ao número de malwares inéditos, portanto muitos deduzem que a Internet e os sistemas conectados estão totalmente infestados de ameaças.
Obviamente, os hackers têm uma variedade de amostras de malware que podem usar, mas isso não significa necessariamente que todas sejam novas.
Grande parte dessas amostras é criada a partir de ferramentas e vulnerabilidades já divulgadas. Desta forma, os hackers utilizam o código e os recursos já disponíveis e criam novas funções para gerar uma amostra inédita de malware.
Muitos motivos fizeram com que essa técnica de reutilizar e reaproveitar os códigos se tornasse popular entre os hackers. O primeiro e mais importante motivo é o fato de poupar tempo. É muito mais rápido e fácil usar um trecho de um código que o hacker já conhece e sabe que funciona.
Assim, é possível que os cibercriminosos se concentrem no que é mais urgente como bypassar métodos de prevenção de detecção ou ocultar funções.
Além disso, grandes ameaças que, por si só, já provaram seu sucesso na execução, são valorizadas. Por isso existem diversas variantes de ransomware, campanhas de spear-phishing e outras táticas.
O acesso e reaproveitamento de códigos se tornou muito fácil graças a fontes disponíveis, como malware e exploit kits. Esses pacotes reúnem as ameaças e os códigos e geralmente são vendidos em mercados clandestinos ou hospedados em sites comprometidos.
Alguns hackers também oferecem kits com backdoor. Assim outros cibercriminosos conseguem acessar hosts já comprometidos.
Abaixo a análise de alguns casos nos quais os hackers usaram o código de outro autor de malware:
• Reaper e Mirai: o Reaper utilizou o código básico do Mirai – uma ameaça particularmente poderosa e bem-sucedida- e o tornou ainda mais ameaçador ao melhorar as técnicas de exploração. Isso tornou possível a execução de ataques mais sofisticados;
• WannaCry e NotPetya: este é um exemplo interessante no qual os hackers obtiveram lucros com o trabalho do grupo de hacktivistas Shadow Brokers. O grupo lançou um código-fonte que incluía várias vulnerabilidades de zero-day no serviço de compartilhamento de arquivos do Microsoft Windows. O código, inicialmente roubado pelo Shadow Brokers de ninguém menos que a NSA, foi usado pelos hackers com outras intenções, em campanhas dos ransomware WannaCry e NotPetya;
• Trojans Carbanak e Silence: além de trechos de códigos, como mencionado anteriormente, os hackers também gostam de reaproveitar técnicas e mecanismos de infecção que comprovadamente funcionam bem.
Quando os pesquisadores descobriram o Trojan Silence – que dava aos hackers acesso às redes bancárias internas e gravava vídeos para entender melhor o uso do software legítimo pelos funcionários – eles perceberam que a estratégia de ataque era familiar.
Tanto as amostras do Trojan Silence quanto do Trojan Carbanak, que já tinha sido descoberto, usavam a mesma abordagem, potencializando as lições aprendidas com os vídeos para roubar o máximo de dinheiro possível e passar desapercebidos pelos funcionários e sistemas de segurança.
As novas ameaças vão continuar reaproveitando técnicas já conhecidas, então é importante que as organizações tomem as medidas adequadas para proteger suas marcas, seus investimentos tecnológicos e seus dados críticos:
1. Limite os recursos automáticos: pode ser interessante limitar ou até mesmo desativar alguns recursos automáticos do sistema e, no lugar deles, implementar configurações que solicitem os dados de acesso do administrador para executar as funções. Com isso, você terá mais visibilidade das atividades realizadas nas máquinas individuais e na rede;
2. Verifique se as correções foram aplicadas: exploits mais antigos são geralmente bem-sucedidos, pois vulnerabilidades conhecidas não são corrigidas de forma rápida o suficiente nos sistemas. Quando uma atualização é lançada, o ideal é aplicar a correção o mais rápido possível;
3. Forneça treinamentos sobre ameaças atuais: é fundamental que os usuários e os stakeholders de toda a empresa passem por treinamentos sobre as principais ameaças atuais. Os próprios funcionários podem se tornar uma camada extra de segurança, ajudando a evitar que técnicas testadas e comprovadas, como o phishing e a engenharia social, afetem a organização.
