Os Exploit Kits se tornaram o principal framework utilizado pelos ciberatacantes devido à sua fácil operação e alta rentabilidade. Entre as suas principais habilidades, destacam-se: a exploração de vulnerabilidades conhecidas e desconhecidas em softwares de navegação Web bem como capacidades evasivas para evitar sua descoberta e filtragem de endereços IP, que redirecionam o tráfego da vítima.
Atualmente, é a principal ferramenta para disseminação de Ransomware – que apresenta vertiginoso crescimento nos últimos meses. Isso por que não requer expertise e são consideradas práticas plataformas de ataque. Os Exploit Kits já se mostram codificados e prontos para o uso, além de serem munidos por um painel de gerenciamento, pelo qual o atacante realiza as alterações necessárias e viabiliza o acesso.
No momento em que adquire a tecnologia, o ciberatacante pode escolher se irá comprar a plataforma ou locá-la – o que é conhecido como Exploit As a Service. Este atacante recebe suporte técnico, caso não saiba como manusear a ferramenta ou precise de configurações mais avançadas. Há também opção de escolha sobre o tipo de malware que será entregue: trojans bancários, InfoStealers, Ransomwares, e até ferramentas de Acesso Remoto (RAT, sigla em inglês).
Conhecido como Crime As a Service, os ataques realizados a partir de Exploit Kits costumam ser alugados. De acordo com uma pesquisa do InfoSec Institute, comprar a plataforma pode custar entre US$ 20 e US$ 30 mil. Por isso, alugá-la por US$ 500 ao mês, tem sido uma prática recorrente dada à acessibilidade.
Em um período de 24h, cerca de 9 mil Exploits são entregues – uma média de 90 mil novos alvos entre campanhas de spams, servidores comprometidos e malvertising, ao dia. 40% deles conseguem, com sucesso, infectar as máquinas e, em mais de 60% dos casos, elas são invadidas com Ransomwares, como TeslaCrypt, Locky e SamSa Ransomware.
Visto que o ransomware possibilita a extorsão cibernética em troca de ganhos financeiros, em alguns casos de invasão, o resgate acaba efetivamente pago pela vítima, sem garantias de que seu ambiente operativo será devolvido.
Por ser uma estrutura complexa de ataque, ferramentas dotadas de indicadores conhecidos em Endpoint ou de detecção retroativa em Sandboxes, que apenas enviam artefatos desconhecidos à nuvem e são atualizados em determinados períodos, não são recomendadas – uma vez que são técnicas demasiadamente lentas para proteção em cenário real, e a verdadeira detecção requer reconhecimento das técnicas de Exploits no momento em que acontecem.
Para acompanhar as inovações dos atacantes, que ora alteram os códigos e ora melhoram as técnicas evasivas, é preciso utilizar uma plataforma completa de soluções e serviços com a função de erradicar os riscos deste ambiente – agregando proteção em tempo-real e replay de tráfego da conexão maliciosa, com registro do redirecionamento dos envolvidos, tentativas de evasão e análise de payloads.
Esta proteção proveniente do relacionamento entre os vetores de entrada em um único console permite uma análise contextualizada, a qual é atribuída à inteligência contra ataques em tempo real e que ajuda a responder: quem é o atacante? Como acessou o ambiente? Quais sistemas foram comprometidos? Ainda está logado?
É recomendado adotar os seguintes passos para proteger o ambiente de sua empresa: ter uma política de updates de patches em seu ambiente; manter atualizadas ferramentas de proteção em Endpoints (Endpoint Prevention Plataform – EPP), como Antivírus e Host IPS; correlacionar eventos dos mais diversos vetores, que reflitam cenários de ataque; e desenvolver um plano de resposta a incidentes, pois deve-se ter em mente quando vai acontecer e não se vai acontecer.
Receba nossa newsletter por e-mail
e fique atualizado!
Texto: