Exploit kits levam ciberataques às massas: saiba como se prevenir

0

Os exploit kits são métodos populares que cibercriminosos utilizam para invadir sistemas. São utilizados de forma furtiva para infectar o alvo e, além de ser um método fácil e acessível para o uso, podendo ser até comprados e/ou alugados – modalidades que vêm crescendo exponencialmente em mercados ilegais, assim como grupos de freelancers que utilizam exploit kits como forma de prestação de serviços para aqueles mal-intecionados menos técnicos. O constante aprimoramento desses agentes maliciosos requer que as equipes de segurança tenham um conhecimento cada vez mais profundo para evitar que suas empresas sejam alvos deste tipo de ataque.

Essas ferramentas foram desenvolvidas para permitir que agentes maliciosos explorem computadores vulneráveis na internet e simplificando uma série de passos para assumir o controle das máquinas dos usuários. Em geral, exploit kits automatizam etapas para inserção da parte funcional de um malware. Aqui estão alguns passos comuns dessa ferramenta:

  • O usuário acessa uma página inicial (landing page) que pode ser de um site confiável infectado por um exploit kit ou alguma página personalizada para uma campanha específica;
  • A página recolhe informações do Windows da vítima para identificar vulnerabilidades em aplicações como Adobe Flash Player, Java, Microsoft Silverlight ou navegadores;
  • O exploit kit enviará um programa específico para cada vulnerabilidade encontrada;
  • Uma vez estabelecido o primeiro contato, o exploit kit instala o malware, infectando a máquina.

Os cibercriminosos podem aproveitar as ferramentas para utilizar outros métodos de ataque, como ransomware, que sequestra os dados do usuário e exige pagamento para recuperá-los – gerando alto lucro. O uso recorrente de determinados kits atraiu a atenção de pesquisadores e autoridades, levando até a prisão de uma gangue responsável pelo exploit kit conhecido como Angler. O kit, que era o mais utilizado naquele momento, saiu do ar, mas logo surgiram substitutos.

A vantagem é que estes kits não utilizam nada de novo para infectar o alvo – somente exploits e malware. A única inovação que trouxeram foi simplificar e automatizar ataques avançados para que qualquer pessoa possa praticar o crime.

Felizmente as equipes de segurança já sabem como se defender, indo além dos processos de detecção e preparo para remediar um ataque, mas, principalmente, se prevenindo de ameaças antes que possam causar danos.

Uma empresa prevenida consegue reduzir as formas de infecção dos exploits com três passos fundamentais:

  • Mantenha as aplicações atualizadas: Os exploit kits buscam vulnerabilidades em aplicações. Mantenha as atualizações em dia, principalmente de navegadores.
  • Faça backup de dados vulneráveis: uma carga comum de exploit kits é o ransomware. Se seus dados forem sequestrados ou estiverem sob risco de um malware, um backup pode evitar que uma situação de risco se torne uma catástrofe.
  • Acesso limitado: Muitos exploit kits miram no Adobe Flash e Java para seu ataque inicial. Por esse motivo é recomendável que as empresas limitem o acesso a essas aplicações de riscos, visando reduzir a plataforma inicial de ataques.

Prevenção de ataques é o principal objetivo das equipes de segurança. É menos preocupante e se gasta muito menos tempo impedindo o exploit kit de se manifestar do que fazendo uma limpeza de rede após uma infecção.  Prevenir é possível, desde que as equipes de segurança sigam os seguintes passos:

  • Prevenção: Prevenir automaticamente exploit kits e malware em sua rede, endpoint e nuvem. As equipes de segurança precisam reagir rapidamente às novas ameaças para impedir a disseminação da atividade do exploit kit.
  • Controle seu navegador: Como exploit kits dependem de sites infectados, é fundamental restringir acesso a fontes de risco, como exemplo, os destinos já conhecidos por hospedarem malwares, phishing ou sites desconhecidos.
  • Políticas de restrições: O Windows pode ser atualizado com softwares que impedem a execução de arquivos em determinados locais, como a pasta de arquivos temporários do Outlook. Se configurado corretamente, é possível garantir que um arquivo malicioso não seja aberto ou executado.
  • Proteção avançada de endpoint: Soluções de antivírus estão disponíveis há anos e no mercado existem muitos produtos para uso doméstico e corporativo. No entanto, como essas soluções dependem que os fabricantes criem assinaturas para identificar um novo malware, as redes estão sob risco enquanto isso não acontece. As ofertas mais recentes de proteção de endpoint não miram um malware individual. Ao invés disso, o foco são as técnicas utilizadas para entregar o malware (como um exploit kit), eliminando a necessidade de atualizar constantemente as assinaturas.

Embora os exploit kits estejam contribuindo para o aumento do número de ciberataques, os métodos utilizados para infectar endpoints e redes podem ser impedidos desde que as medidas apropriadas sejam tomadas. Prevenir é a palavra de ordem e todos devem colaborar – equipe de TI e usuários da rede em geral.

Arthur Capella, gerente geral na Palo Alto Networks no Brasil.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.