Trend Micro investiga prática hacker: o potencial perigo da “reciclagem”de ciberameaças

São Paulo, fevereiro de 2018 – Programas de código aberto são valorizados pois não existe a necessidade de criar um código completamente novo mas, a partir do já existente, desenvolvedores o utilizam para potencializar as atuais necessidades.

No entanto, de acordo com a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –essa técnica vem sendo utilizada por hackers.

A descoberta mostra que cibercriminosos reciclam e reaproveitam exploits antigos que funcionaram bem no passado para criar uma ameaça completamente nova. Ainda pior, muitas dessas ameaças reutilizadas são potencializadas com novas e sofisticadas estratégias de infecção, fazendo com que seja ainda mais difícil se proteger contra elas.

Malwares inéditos? Nem tanto...

Ainda segundo a Trend Micro, recentes estatísticas foram divulgadas com relação ao número de malwares inéditos, portanto muitos deduzem que a Internet e os sistemas conectados estão totalmente infestados de ameaças

Obviamente, os hackers têm uma variedade de amostras de malware que podem usar, mas isso não significa necessariamente que todas sejam novas.

Grande partes dessas amostras são criadas a partir de ferramentas e vulnerabilidades já divulgadas. Desta forma, os hackers utilizam o código e os recursos já disponíveis e criam novas funções para gerar uma amostra inédita de malware.

Por que reutilizar?

Muitos motivos fizeram com que essa técnica de reutilizar e reaproveitar os códigos se tornasse popular entre os hackers. O primeiro e mais importante motivo é o fato de poupar tempo. É muito mais rápido e fácil usar um trecho de um código que o hacker já conhece e sabe que funciona.

Assim, é possível que os cibercriminosos se concentrem no que é mais urgente como bypassar métodos de prevenção de detecção ou ocultar funções.

Além disso, grandes ameaças que, por si só, já provaram seu sucesso na execução, são valorizadas. Por isso existem diversas variantes de ransomware, campanhas de spear-phishing e outras táticas.

Como disponibilizar o código: Malware e exploit kits

O acesso e reaproveitamento de códigos se tornou muito fácil graças a fontes disponíveis, como malware e exploit kits. Esses pacotes reúnem as ameaças e os códigos e geralmente são vendidos em mercados clandestinos ou hospedados em sites comprometidos.

Alguns hackers também oferecem kits com backdoor. Assim outros cibercriminosos conseguem acessar hosts já comprometidos.

Exemplos de reutilização

Abaixo a análise de alguns casos nos quais os hackers usaram o código de outro autor de malware:

• Reaper e Mirai: o Reaper utilizou o código básico do Mirai - uma ameaça particularmente poderosa e bem-sucedida- e o tornou ainda mais ameaçador ao melhorar as técnicas de exploração. Isso tornou possível a execução de ataques mais sofisticados;
• WannaCry e NotPetya: Este é um exemplo interessante no qual os hackers obtiveram lucros com o trabalho do grupo de hacktivistas Shadow Brokers. O grupo lançou um código-fonte que incluía várias vulnerabilidades de zero-day no serviço de compartilhamento de arquivos do Microsoft Windows. 
  O código, inicialmente roubado pelo Shadow Brokers de ninguém menos que a NSA, foi usado pelos hackers com outras intenções, em campanhas dos ransomware WannaCry e NotPetya;
• Trojans Carbanak e Silence: Além de trechos de códigos, como mencionado anteriormente, os hackers também gostam de reaproveitar técnicas e mecanismos de infecção que comprovadamente funcionam bem. 

Quando os pesquisadores descobriram o Trojan Silence – que dava aos hackers acesso às redes bancárias internas e gravava vídeos para entender melhor o uso do software legítimo pelos funcionários – eles perceberam que a estratégia de ataque era familiar.

Tanto as amostras do Trojan Silence quanto do Trojan Carbanak, que já tinha sido descoberto, usavam a mesma abordagem, potencializando as lições aprendidas com os vídeos para roubar o máximo de dinheiro possível e passar desapercebidos pelos funcionários e sistemas de segurança.

O futuro do reaproveitamento de ameaças

De acordo com as previsões do relatório da Trend Micro para 2018, esse estilo de reutilização de ameaças não deve desaparecer tão cedo. Na verdade, os especialistas estimam que técnicas familiares de infecção, como aquelas usadas para espalhar e-mails e spam baseados na web e a proliferação das fake news, irão ressurgir.

“Desde os e-mails de phishing enviados aos ministérios estrangeiros até o uso flagrante de documentos para desacreditar as autoridades, conteúdos suspeitos vão se espalhar livremente”, afirmou o Relatório de Previsões de Segurança para 2018. “Campanhas políticas manipuladas vão continuar a desenvolver técnicas para deliberadamente confundir e mudar a percepção pública e isso será possível por meio das ferramentas e serviços disponíveis em mercados clandestinos”.

Com as ameaças disponíveis no mercado clandestino, os hackers não precisam saber como desenvolver códigos. Eles podem simplesmente comprar ameaças pré-construídas e reaproveitá-las com poucas alterações apenas para diminuir os riscos de detecção.

Como se proteger contra ameaças novas e antigas?

As novas ameaças vão continuar reaproveitando técnicas já conhecidas, então é importante que as organizações tomem as medidas adequadas para proteger suas marcas, seus investimentos tecnológicos e seus dados críticos:

• Limite os recursos automáticos: pode ser interessante limitar ou até mesmo desativar alguns recursos automáticos do sistema e, no lugar deles, implementar configurações que solicitem os dados de acesso do administrador para executar as funções. Com isso, você terá mais visibilidade das atividades realizadas nas máquinas individuais e na rede;
• Verifique se as correções foram aplicadas: Exploits mais antigos são geralmente bem-sucedidos, pois vulnerabilidades conhecidas não são corrigidas de forma rápida o suficiente nos sistemas. Quando uma atualização é lançada, o ideal é aplicar a correção o mais rápido possível;
• Forneça treinamentos sobre ameaças atuais: É fundamental que os usuários e os stakeholders de toda a empresa passem por treinamentos sobre as principais ameaças atuais. Os próprios funcionários podem se tornar uma camada extra de segurança, ajudando a evitar que técnicas testadas e comprovadas, como o phishing e a engenharia social, afetem a organização.