Header Ads

Home / Astronomia / Notícias / Do Lone Wolf ao Crime Organizado - De onde vêm as ameaças cibernéticas

Do Lone Wolf ao Crime Organizado - De onde vêm as ameaças cibernéticas

terça-feira, dezembro 15, 2020 ,

Shutterstock / NeydtStock

Há mais de um tipo de ator de ameaça, e todos eles têm habilidades diferentes. Com quais você precisa se preocupar e quais representam pouca ou nenhuma ameaça? Nós explicamos isso para você.

Diferentes níveis de cibercriminosos

No mundo físico, existem diferentes níveis de criminosos. Claramente, aqueles que planejam e executam roubos de diamantes não são os mesmos que roubam uma bolsa e correm rua abaixo. O mesmo ocorre com os cibercriminosos. Existem muitos tipos diferentes de agentes de ameaças, desde o sempre popular tropo de Hollywood do garoto em seu quarto até os grupos de ameaças persistentes avançados patrocinados pelo estado, usados ​​para crimes cibernéticos internacionais ofensivos e defensivos e guerra cibernética.

Em agosto de 2018, uma equipe de agentes de ameaças se infiltrou no servidor que hospedava o site de reserva de voos da British Airways. Tendo obtido acesso ao servidor, eles pararam e fizeram o reconhecimento. Eles determinaram quais módulos de software executavam quais funções e como os vários módulos se comunicavam e se autenticavam uns com os outros. Quando identificaram o módulo que desejavam ter como alvo, escreveram um substituto para esse módulo e trocaram o que estava comprometido.

Como o site continuou a funcionar como esperado, nenhuma suspeita foi levantada. As reservas ainda foram processadas corretamente, os bilhetes foram emitidos e os passageiros embarcaram nos voos sem atrasos ou problemas. Enquanto isso, o módulo substituto estava retendo uma cópia dos dados pessoais que passaram por ele.

Todos os nomes, endereços, endereços de e-mail, números de passaporte e detalhes de cartão de crédito foram guardados, esperando para serem recuperados pelos criminosos. O módulo fraudulento esteve ativo do final de agosto ao início de setembro de 2018. Durante esse período, ele coletou 380.000 conjuntos de dados pessoais.

Este tipo de ataque direcionado requer muitas habilidades diferentes. O alvo deve ser selecionado, o site deve estar comprometido, o site deve ser analisado e compreendido, e o módulo comprometido deve ser desenvolvido e inserido na cadeia de execução do site. Na maioria das vezes, isso requer uma equipe de indivíduos.

Cada membro da equipe tem uma especialidade ou área específica de conhecimento que pode ser utilizada durante o ataque. A operação deve ser paga. Os cibercriminosos também devem ser bem versados ​​nas atividades criminosas do mundo físico associadas, que são necessárias para obter o retorno do ataque. Eles precisam ser capazes de ganhar dinheiro com o empreendimento e cobrir seus rastros, por exemplo. Mesmo com o pagamento em criptomoeda, eles podem precisar lavar seu dinheiro. Desajustados e mal direcionados, talvez, mas esses são operadores inteligentes e habilidosos.

Isso levanta a questão óbvia. Esses cibercriminosos altamente qualificados atacariam a média das pequenas e médias empresas (PMEs)? Não, claro que não. Mas isso não significa que a média das PME não tem nada com que se preocupar.

Com uma indústria de serviços sofisticada florescendo na Dark Web para fornecer ferramentas, suporte e até mesmo para executar ataques cibernéticos reais em nome de criminosos cibernéticos pouco qualificados, praticamente qualquer pessoa pode executar um crime cibernético. Ter um conhecimento amplo e profundo de TI, segurança cibernética e programação não é mais um requisito para entrar no jogo.

Tudo que você precisa é intenção criminosa e acesso à Internet.

As diferentes camadas definidas

O nível superior

Os atores da ameaça na camada superior possuem habilidades avançadas e sofisticadas e profundo conhecimento do assunto. Eles se dedicam a atacar alvos de alto valor e, muitas vezes, de alto perfil. Os ataques que ocorreram contra Cathay Pacific, British Airways, Equifax e Yahoo! são exemplos de ataques de cibercriminosos de primeira linha.

A camada intermediária

Os atores de ameaças na camada intermediária têm uma quantidade moderada de habilidades em TI e crimes cibernéticos. Normalmente, esses agentes de ameaças não têm como alvo empresas e perpetram ataques executados com cuidado. Seus alvos são qualquer pessoa que eles possam infectar.

Se os atores da ameaça na camada superior são como atiradores, aqueles na camada intermediária são metralhadores de olhos vendados. Eles explodem e, em seguida, veem em quem acertaram. Eles extorquirão dinheiro de qualquer pessoa, grande ou pequena.

Eles têm habilidades suficientes para usar o código-fonte baixado e kits de malware adquiridos na Dark Web para criar novas cepas ou variantes de ameaças existentes. Eles podem usar um dos muitos provedores de crime cibernético como serviço na Dark Web, embora isso tenda a ser o domínio do ator de ameaça de nível inferior.

O nível inferior

O nível mais baixo é a camada inferior. Eles são conhecidos pejorativamente como script kiddies pelos hackers que possuem habilidades reais. Esses aspirantes a cibercriminosos são capazes de seguir as instruções básicas, mas estão restritos a usar ferramentas prontas — e prontamente disponíveis — para cometer seus ataques. Eles não têm as habilidades e o conhecimento para criar novas ameaças para si mesmos.

Freqüentemente, eles usam os provedores de crimes cibernéticos como um serviço na Dark Web. Assim como a camada intermediária, eles não se importam de quem infectam ou extorquem. Eles são completamente agnósticos em seus ataques de malware — em sua maior parte.

Um dos ataques comuns usados ​​pelo ator de ameaça da camada inferior é um ataque distribuído de negação de serviço (DDoS). Esta categoria de ataque é popular com a camada inferior porque são ataques fáceis de conduzir e o software necessário para realizar um ataque DDoS pode ser encontrado gratuitamente na Internet normal. Um ataque DDoS precisa ser direcionado a uma vítima específica.

Se a camada superior é como atiradores e a camada intermediária é como metralhadoras, a camada inferior é como uma gangue de crianças que encontraram uma pistola. Eles estão amontoados em volta dele, olhando para baixo no cano para ver se ele está carregado. Mas uma bala dói quer o gatilho seja puxado por um atirador ou um idiota.

E ainda mais atores de ameaça

Claro, o modelo de três camadas é uma simplificação. Se serviu para demonstrar que existem diferentes níveis de especialização nas três camadas principais de cibercriminosos e que apenas a camada mais alta visa empresas específicas para recompensas financeiras, ela cumpriu seu propósito. Mas, como você pode esperar, o cenário de ameaças é mais complicado e com muitas camadas.

Crime Organizado

O Crime Organizado usa a internet e a Dark Web para uma variedade de propósitos ilegais e está remodelando suas atividades para se beneficiar do anonimato da Dark Web e das criptomoedas. Por exemplo, os medicamentos precisam ser cultivados como uma cultura e depois processados. Esse produto deve ser transportado e contrabandeado. Ele é então vendido e distribuído por meio de uma pirâmide de vários níveis de criminosos menores, com cada nível inferior mostrando progressivamente menos lealdade à organização. Cada um desses níveis apresenta risco e custo.

Vender suas drogas nos mercados da Dark Web remove o modelo de distribuição em várias camadas e permite que os criminosos se escondam atrás de criptomoedas. Reduz custos e riscos para os criminosos. Foi um pequeno passo daí para perceber que o cibercrime também é um modelo atraente.

Os crimes organizados &’ s cibercrimes abrangem tanto a camada superior como a camada intermediária. Eles têm a influência financeira para contratar talentos cibercriminosos de primeira linha para desenvolver malware para eles, especialmente ransomware. Essas são as variantes de ransomware que roubam manchetes e se espalham globalmente com um efeito devastador.

Eles são as ameaças de ransomware que introduzem novos métodos de ataque, nova distribuição ou métodos de infecção, ou que alavancam exploits de dia zero recém-descobertos. Como os operadores de nível intermediário, eles pretendem atingir o maior número de vítimas possível.

Hacktivistas

O termo hacktivista foi cunhado pela primeira vez por um membro do Culto da Vaca Morta em meados dos anos 90. Eles eram um grupo de hackers que costumava se reunir em um matadouro abandonado em Lubbock, Texas. Hacktivista é uma palavra-chave que une hacking e ativista. Mas não se engane, os hacktivistas ainda são cibercriminosos.

Os hacktivistas se veem como guerreiros da justiça social realizando ataques contra alvos que, no que lhes diz respeito, merecem interrupção do serviço ou vergonha pública. Suas atividades são o equivalente digital do ativismo físico, como lobby, perturbação do local de trabalho, piquetes e ocupações de estudantes — e às vezes vandalismo.

Sem dúvida, o grupo hacktivista mais conhecido é o Anonymous. Ele surgiu do site de postagem de imagens do 4chan. O Anonymous atacou organizações como a Al-Qaeda, ISIS, Ku Klux Klan, a Igreja da Cientologia, o grupo anti-islâmico & # 8216; Reclaim Australia & # 8216; e a Igreja Batista de Westboro.

Normalmente, o Anonymous usa ataques de negação de serviço distribuída (DDoS) para render as vítimas &’ sites inoperantes, eles desfiguraram páginas da web com suas próprias mensagens políticas e vazaram informações privadas online. Ocasionalmente, eles vão além e aniquilam por completo sites que consideram merecedores de destruição, como sites que hospedam pornografia infantil.

Os hacktivistas têm como alvo as pequenas e médias empresas? Não, quase certamente não. Diante disso, não há justificativa para um grupo hacktivista atacar uma empresa normal — a menos que cometa um erro e identifique você e suas atividades incorretamente.

O lobo solitário

Shutterstock / Gorodenkoff

Assim como os hacktivistas, o hacker lobo solitário geralmente é motivado por algo diferente do dinheiro. Por exemplo, Gary McKinnon — que foi chamado de o hacker mais perigoso de todos os tempos, por ninguém menos que o Anonymous — ficou obcecado com a ideia de que a NASA estava suprimindo evidências de alienígenas e tecnologia alienígena, como energia limpa ilimitada. O boato foi iniciado por um empreiteiro da NASA que afirmou ter visto fotografias da missão da NASA sendo digitalmente alteradas para remover imagens de OVNIs.

Entre fevereiro de 2001 e março de 2002, McKinnon invadiu remotamente 97 redes militares da NASA e dos EUA em busca de evidências dessas afirmações. Ele também se infiltrou em sistemas pertencentes ao Pentágono e à Marinha dos Estados Unidos. Ele foi preso e os EUA solicitaram a extradição. Isso acabou sendo bloqueado pelo governo do Reino Unido, alegando que McKinnon não estava mentalmente bem.

McKinnon admite livremente ter conduzido o crime cibernético e continua convencido de que a NASA está ocultando evidências de vida e tecnologia extraterrestres. É importante notar que seus hacks foram quase totalmente bem-sucedidos devido à falta de higiene cibernética por parte da vítima, incluindo senhas fracas e previsíveis.

Muitos ataques de lobo solitário seguem este modelo. Um indivíduo com problemas sociais ou de outra forma problemático, movido por noções e crenças ilógicas, usa habilidades técnicas moderadas para penetrar nos sistemas de computador.

Eles podem ter algumas habilidades técnicas, mas são ingênuos no campo do crime necessário para cometer um crime e escapar impune. Na grande maioria dos casos, eles são detectados com muita facilidade. A ameaça representada para a empresa média por essas pessoas é limitada a inexistente.

Grupos patrocinados pelo estado

O Oxford English Dictionary define ciberguerra como:

O uso de tecnologia de computador para interromper as atividades de um estado ou organização, especialmente o ataque deliberado a sistemas de informação para fins estratégicos ou militares.

Os Estados Unidos, Reino Unido, Irã, Israel, Rússia, China, Coreia do Norte e Vietnã têm alas de inteligência ofensiva e defensiva extremamente cibernéticas.

Uma Ameaça Persistente Avançada (APT) é um ataque à rede de computadores no qual o acesso não autorizado é obtido e permanece sem ser detectado por um período prolongado. O termo APT também passou a representar os grupos por trás desses ataques, especialmente se vários ataques de ameaças persistentes avançadas diferentes foram atribuídos a esse grupo.

Essas ameaças persistentes avançadas são ciberameaças de desenvolvimento prolongado e tecnicamente desafiador, exigindo grandes equipes com conhecimento técnico de classe mundial, que são atribuídas a estados-nação ou, possivelmente, à maior das corporações. É possível que algumas dessas empresas tenham sido pressionadas por seus serviços de inteligência a criar essas ameaças ou a criar produtos que carregam backdoors embutidos ou outras vulnerabilidades.

Os tipos de ciberameaça apresentados pelos grupos patrocinados pelo estado são aqueles que atacam componentes críticos da infraestrutura dos países. Centrais de energia, comunicações, hospitais, instituições financeiras, fábricas de produtos químicos, empresas de eletrônicos, manufatura, aeroespacial, automotiva e de saúde foram todos visados.

É improvável que a média das PME seja alvo de um APT diretamente. Mas você ainda pode ser pego na precipitação. Acredita-se que o ransomware NotPetya que atacou empresas ao redor do mundo em 2017 tenha sido um ataque disfarçado e generalizado contra a Ucrânia pela Rússia.

Suas defesas

Pode haver vários tipos de agentes de ameaças por aí, mas todos são variações de um mesmo tema. Você não precisa planejar para impedir cada tipo individualmente. Preste atenção a todas as etapas básicas para proteger sua rede e aos três pilares da segurança cibernética.

Nenhum comentário

Assinar: Postar comentários ( Atom )