Custos Relacionados com Data Exfiltrating
Os custos de ciber espionagem para a organização-alvo tornam-se muito óbvio após as investidas feitas pelos atacantes. Os riscos calculados são tipicamente fatores de consideração das despesas iniciais, após a descoberta das violações; isso envolve, fortemente, atividades de resposta a incidentes, gestão de crises e penalidades relacionadas com os processos de compliance.
Perda de Informações Confidenciais e Despesas Organizacionais
Perder vantagem competitiva no caso de informações confidenciais serem vendidas para uma empresa rival, pode ameaçar a sobrevivência de uma empresa em uma escala mais ampla. A "perda" representa não só a pesquisa e as despesas de desenvolvimento para refinar um produto, mas também as oportunidades de vendas e a liderança de mercado que foi perdida. Além disso, como foi exemplificado nos ataques de rede, os atacantes foram capazes de levantar documentos classificados como secretos, confidenciais e restritos.
Tais documentos marcados como tal, quando expostos publicamente, podem colocar em perigo a segurança nacional. Por exemplo, no caso de documentos restritos, precisam fazer com que os dados envolvam a concepção, criação e uso de material nuclear ou armas. Vale ressaltar que embora o impacto de ataques direcionados seja bastante perceptível, o esforço dos cibercriminosos para sugar dados de dentro de uma rede infiltrada não é. Eles agem de forma organizada e silenciosa.
Além disso, como exemplificado nos ataques da Shadow Network, os atacantes foram capazes de levantar a documentos classificados como secreto, confidencial e restrita. Documentos marcados como tal, quando expostas publicamente, pode pôr em perigo a segurança nacional. Por exemplo, documentos restritos têm que fazer com os dados que envolvem a concepção, criação e uso de materiais nucleares ou armas.
Atividades do Malware EvilGrab
Os pesquisadores da Trend Micro lançaram, recentemente, um relatório sobre uma campanha de ataque direcionado que usou o malware EvilGrab, onde os elementos ameaçaram colocar em prática backdoors que podem capturar as teclas digitadas, bem como vídeo e áudio do ambiente do sistema, usando microfones de áudio anexado e câmeras de vídeo para essa finalidade. Esses recursos são parte integrante de qualquer acesso remoto que envolva elementos nefastos, como é o caso dos trojans. Tal como acontece com atividades típicas de exfiltração de dados, estas informações roubadas podem então ser enviadas para um servidor remoto, para serem acessadas pelos cibercriminosos.
Uma maneira de tirar proveito disso é usar a capacidade built-in dos Trojans de acesso remoto, que são malwares que permitem que um usuário remoto possa ter o controle total de um sistema comprometido, facilitando a realização de transferência de arquivos. Os trojans de acesso remoto ou outras ferramentas de ataque, provavelmente, já devem estar sendo usados (porque a fase anterior em um ataque direcionado exigiria comunicação em tempo real e maior controle por parte do atacante do sistema comprometido.
Monitoramento e Captura de Arquivos
Além disso, os atacantes podem abusar de recursos legítimos do Windows. Por exemplo, esses elementos podem abusar do WMI (Windows Management Instrumentation) para monitorar e capturar os arquivos abertos recentemente. O atacante pode usar FTP ou HTTP para enviar o arquivo, a fim de enganar o administrador e analisar o tráfego de rede de TI, fazendo acreditar que a comunicação é legítima. Alternativamente, o atacante pode usar o Tor para mascarar a localização e o tráfego.
Considerações da Trend Micro
Os pesquisadores da empresa prevêem que, no futuro, os atacantes podem se concentrar não em apenas roubar dados, mas na modificação desses dados, tornando como tema principal de ataques direcionados a sabotagem, ao invés de simplesmente as atividades de espionagem. Há uma cartilha recentemente publicada sobre exfiltração de dados, intitulada: "Data Exfiltration: How Threat Actors Steal Your Data", que entra em detalhes sobre os tipos de ferramentas e técnicas que os elementos da cena cibercriminosa usam neste contexto das campanhas de ataque direcionado.
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...-intelligence/