Get best of the week

Táticas de hackers favoritas

imagem
Os sistemas de hackers podem ocorrer de muitas maneiras diferentes - desde ataques sofisticados com componentes de rede de hackers a técnicas tecnicamente primitivas, como comprometer a correspondência comercial. Neste post, analisaremos as táticas que usam os grupos de hackers mais perigosos - Lazarus, Pawn Storm, Cobalt, Silence e MoneyTaker .

Um dos critérios mais importantes para a escolha de ferramentas de hackers, além do grau de propriedade dos membros do grupo por eles, é a eficácia. Os ciberataques modernos são operações complexas em vários estágios, cuja implementação exige muito tempo e recursos financeiros sérios. Se a penetração no sistema falhar, todo o trabalho e custos preliminares serão em vão. Assim, as táticas de penetração em sistemas usados ​​pelos grupos líderes podem ser consideradas as mais eficazes.

Entre essas táticas, destacam-se:

  1. todos os tipos de phishing - clássico, direcionado, phishing nas redes sociais, tabnabbing;
  2. ataques à cadeia de suprimentos;
  3. ataques como Watering Hole;
  4. ataques através de vulnerabilidades de equipamentos de rede e sistemas operacionais;
  5. ataques por interceptação de DNS.

De fato, todos esses métodos são conhecidos há muito tempo, mas cada grupo traz seu próprio “toque”, transformando apenas táticas eficazes em um projétil de armadura ou combinando graciosamente várias técnicas para contornar facilmente os sistemas de proteção das empresas.

Phishing


Na sua forma mais simples, o phishing é um email comum que contém um anexo ou link malicioso. O texto da carta é composto de forma a convencer o destinatário a executar as ações necessárias para o remetente: abra o anexo ou siga o link para alterar a senha.

As cartas enviadas por colegas ou gerentes são mais credíveis do que as mensagens de estranhos, especialmente se o design da carta for consistente com o estilo adotado pela empresa. Nesse sentido, a fase preparatória de uma campanha cibernética usando phishing inclui necessariamente a coleta de informações sobre a estrutura da organização, uma lista de funcionários e seus emails, além de cartas reais contendo elementos de design.

Agrupamento de SilêncioEle usa o phishing mais comum para penetração com uma leve nuance: suas campanhas necessariamente incluem uma fase de teste com o envio de cartas inofensivas para verificar a relevância da base de endereços coletada. Isso permite aumentar a eficácia do ataque enviando cartas com carga maliciosa ao banco de dados do destinatário verificado.

O grupo Pawn Storm também usa correspondências de phishing, e um amplificador de influência como autoridade é adicionado para aumentar sua eficácia. Nesse sentido, a fase preparatória da campanha inclui o chamado Phishing de alta credibilidade - o roubo de contas de alto nível. Depois de coletar uma quantidade suficiente desses dados na organização de destino, o Pawn Storm realiza o envio em nome dessas pessoas, "cobrando" uma carga útil que garanta a consecução bem-sucedida da meta.

No arsenal dos truques de Fancy Bear, há outro, não muito conhecido, um - substituir um site legal por outro nas páginas do navegador - o tabnabbing , descrito por Aza Raskin da Mozilla em 2010. O ataque de tabnabbing é o seguinte:

  • a vítima é atraída para um local inofensivo controlado por um invasor;
  • existe um script no site que monitora o comportamento da vítima: assim que ela muda para outra guia ou por muito tempo não realiza ações, o conteúdo do site muda para a página de autorização no correio ou na rede social e o favicon do site para o favicon do serviço correspondente - Gmail, Facebook etc. d.
  • Retornando à guia, a vítima descobre que "efetuou login" e, sem dúvida, insere suas credenciais;
  • , , .

Os hackers Lázaro não trocam por insignificantes, preferindo acertar exatamente no alvo. Suas armas são direcionadas para phishing por correio e redes sociais. Depois de escolher um funcionário da empresa adequado para suas tarefas, eles estudam seus perfis nas redes sociais e, em seguida, entram em correspondência com ele, que geralmente começa com uma oferta atraente de um novo emprego. Usando engenharia social, eles o convencem, sob o pretexto de algo importante, a baixar o malware e executá-lo em seu computador.

A equipe MoneyTaker , especializada em bancos, realiza campanhas de phishing em nome de outros bancos, o banco central, o ministério das finanças e outras organizações financeiras. Ao copiar os modelos dos departamentos relevantes, eles conferem às cartas o grau de credibilidade necessário e suficiente para um ataque bem-sucedido.

Ataques de contraparte


Muitas vezes acontece que a organização alvo está bem protegida, principalmente quando se trata de um banco, organização militar ou estatal. Para não quebrar a testa contra o “muro de concreto” dos complexos de defesa, os grupos atacam os contra-agentes com os quais seu alvo interage. Tendo comprometido o correio de vários funcionários ou mesmo se infiltrado na correspondência, os hackers recebem as informações necessárias para maior penetração e a oportunidade de cumprir seu plano.

Por exemplo, o grupo Cobalt se infiltrou em redes bancárias, atacando integradores de sistemas e outros provedores de serviços e hacks por desenvolvedores de carteiras eletrônicas e terminais de pagamento, permitindo que roubasse dinheiro automaticamente através de gateways de pagamento usando seu próprio programa.

Ataque Molhando


Watering Hole, ou Watering Hole, é uma das táticas favoritas de Lázaro. O significado do ataque é comprometer os sites legais que são frequentemente visitados pelos funcionários da organização de destino. Por exemplo, para funcionários de bancos, esses recursos seriam o site do banco central, ministérios das finanças e portais do setor. Após o hacking, as ferramentas de hackers são colocadas no site sob o disfarce de conteúdo útil. Os visitantes baixam esses programas em seus computadores e fornecem aos atacantes acesso à rede.

Entre os sites Lazarus invadidos estão a Comissão Polonesa de Supervisão Financeira , o Banco da República Oriental do Uruguai e a Comissão Nacional de Bancos e Ações do México . Os hackers usaram vulnerabilidades no Liferay e JBoss para invadir sites.

SO e vulnerabilidades de hardware de rede


Explorar vulnerabilidades de sistemas operacionais e equipamentos de rede oferece vantagens significativas, mas isso requer conhecimento e habilidades profissionais. O uso de kits de exploração sem uma compreensão profunda dos princípios de seu trabalho anulará rapidamente o sucesso do ataque: eles invadiram um hack, mas não conseguiram fazer nada.

Ataques de vulnerabilidade são comuns para MoneyTaker, Lazarus e Pawn Storm. Os dois primeiros grupos usam principalmente os erros conhecidos no firmware dos equipamentos de rede para introduzir seu servidor na rede da empresa por meio de uma VPN, através da qual realizam outras ações. Mas no arsenal de Pawn Storm, perigosas vulnerabilidades de dia zero são descobertas, para as quais não há patches; procura sistemas com vulnerabilidades conhecidas.

Ataques DNS


Esta é uma família de ataques que gravamos apenas com o Pawn Storm. Outros grupos conhecidos geralmente se limitam ao phishing e a dois a três métodos alternativos.

O Pawn Storm usa vários níveis de comprometimento do DNS. Por exemplo, há casos em que eles roubam credenciais da empresa no painel de controle DNS e alteram os servidores MX para seus próprios, obtendo acesso total à correspondência. O servidor malicioso recebeu e transmitiu todo o correio para a empresa-alvo, deixando cópias em sua posse, e os hackers poderiam se infiltrar em qualquer cadeia a qualquer momento e alcançar o resultado desejado, sem serem detectados.

Outra maneira de comprometer era assumir o controle total dos servidores do registrador DNS. Em muitos países, há apenas um número muito pequeno de registradores; portanto, a conquista do controle sobre os maiores forneceu possibilidades quase infinitas para introduzir a maioria das organizações públicas e privadas na troca de informações, phishing e outros tipos de influência.

achados


O phishing não é apenas popular entre as crianças de script que alugam acesso a serviços maliciosos, como Phishing como serviço ou Extorsão como serviço. A eficácia e o baixo custo relativo desse método o tornaram o principal e, às vezes, a única arma dos grupos mais perigosos. A riqueza de opções para usá-lo está nas mãos dos criminosos: antes de comprometer a correspondência comercial, a maioria das soluções de proteção são aprovadas, e a credulidade e a distração dos usuários serão um suporte confiável para ataques fraudulentos por muito tempo.
A proteção de sistemas de computador e equipamentos de rede é, sem dúvida, uma tarefa importante, juntamente com a instalação oportuna de atualizações de segurança, mas, levando em consideração os gráficos das táticas de crimes cibernéticos, as medidas relacionadas à proteção contra o fator humano vêm em primeiro lugar.

As credenciais interceptadas do e-mail de uma pessoa idosa permitirão que os criminosos roubem informações confidenciais de importância especial e, em seguida, usem esse e-mail e informações para realizar um ataque de várias passagens. Enquanto isso, o treinamento banal de habilidades e o uso do MFA privariam os hackers dessa oportunidade.

No entanto, os sistemas de defesa também não param, detectando ações maliciosas usando inteligência artificial, aprendizado profundo e redes neurais. Muitas empresas estão desenvolvendo essa classe e também oferecemos aos nossos clientes proteção contra ataques sofisticados de BEC com a ajuda de inteligência artificial especialmente treinada. Seu uso em conjunto com o treinamento de funcionários em habilidades comportamentais seguras lhes permitirá resistir com sucesso a ataques cibernéticos, mesmo pelos grupos mais treinados tecnicamente.

More articles:


All Articles