O info-stealer (ladrão de informações) tornou-se o ponto de partida mais valioso para muitos cibercriminosos. O ransomware costumava ser esse ponto de partida, mas, como as pessoas começam a encontrar formas mais fortes de combater isso e, potencialmente, não pagar o resgate, é muito arriscado (do ponto de vista da lucratividade do hacker) começar aqui.
Então, por que um info-stealer?
Os dados da sua empresa têm mais valor fora da sua organização do que dentro dela. Número do CPF, informações de direcionamento e da sua conta bancária, propriedade intelectual e – o mais importante para a próxima etapa de sucesso (do hacker) – suas senhas. Mais especificamente, as senhas da sua equipe de segurança de TI.
Por que suas senhas são tão importantes?
Bem, existem algumas razões para isso, mas, do ponto de vista do cibercriminoso, elas permitem que ele se mantenha a par da consciência interna da presença do malware. Como ele faria isso? Essas senhas são as de e-mail ou vários outros métodos de comunicação (como programas de mensagens instantâneas). Ele monitoraria seu e-mail e outros métodos de comunicação para frases ou termos específicos relacionados à ameaça. Se a presença do info-stealer for descoberta, o hacker provavelmente ignorará o próximo passo e passará diretamente para o Passo 3.
Com o aumento da familiaridade do mercado sobre o valor de uma criptomoeda (embora o custo já esteja em um período de normalização), a utilização de recursos do sistema e o acesso livre (pelo menos para o hacker) para mineração ainda são um negócio lucrativo. A única razão pela qual a maioria das pessoas percebe esse passo é o aumento do tráfego de rede e a sobrecarga dos recursos de uma máquina.
Uma vez descoberto o info-stealer/minerador, normalmente é quando o hacker passa para a etapa 3 – a transmissão do ransomware, ou como eu gosto de chamar, a abordagem da terra queimada. O termo “terra queimada” vem de uma prática militar na qual você destrói tudo de valor em uma área específica. O ransomware realiza essa tarefa. Se você não pagar o resgate, seus dados podem ser permanentemente danificados ou perdidos.
O valor do sistema de três passos (para o hacker, pelo menos)
Esse sistema de três passos garante que resulte algum valor de uma campanha de ataque. Do ponto de vista do cibercriminoso, por que fazer o trabalho, se ele não conseguirá ganhar dinheiro com isso? Ao seguir essas etapas, há um valor financeiro a ser obtido em cada uma delas, bem como a capacidade de fazer algum reconhecimento.
Como posso me proteger e à minha corporação?
Vamos rever cada passo e analisar como uma estratégia básica de segurança pode ajudar. Na etapa 1, os atacantes visavam tipos específicos de dados que pudessem vender, além de realizar o processo de reconhecimento. Para combater isso:
• um antivírus (AV) confiável deve ser capaz de parar o desenvolvimento do ladrão de informações e colocá-lo em quarentena;
• uma corporação também deve aproveitar a autenticação multifatorial (2FA) para proteger ainda mais os serviços, como e-mail e outras formas de comunicação;
• finalmente, uma corporação deve ter uma forma alternativa de comunicação para ser usada após o ataque (correios alternativos etc.), já que os hackers podem ter comprometido suas formas de comunicação existentes (eu gosto do Protonmail por causa de sua segurança integrada);
• algo mais a notar: se você começar a ver que mensagens novas já estão marcadas como “lidas” (erro amador de alguns atacantes, que não se certificam de remarcá-las como “não lidas”), é outro sinal de que algo está errado.
O Passo 2 é um pouco mais aparente:
• se você verificar um aumento significativo no tráfego de rede ou os usuários começarem a queixar-se de que seus sistemas estão devagar (mais do que o habitual, pois tenho certeza de que você já ouve isso diariamente), não ignore isso. Ambos são sinais de que algo não está certo.
O passo 3 é o mais notável de todos, o ataque do ransomware, portanto:
• tenha uma solução antivírus confiável no local e também um plano de contingência para lidar com esse tipo de ataque;
• o método utilizado deve conter políticas robustas de backup de dados combinadas com acordos pré-assinados com uma empresa de IR (relação com investidores) respeitável (para acelerar o processo de contenção);
• finalmente, não pague aos cibercriminosos. Se você está enfrentando um ataque de ransomware, uma das piores coisas que você pode fazer é pagar os criminosos responsáveis. Veja bem: ladrões não têm honra. Se você paga, eles conversam com outros grupos de hackers e, possivelmente, voltam para uma segunda rodada de extorsão.
Para onde vamos daqui?
O objetivo deste artigo é esclarecer tendências na comunidade de cibersegurança. Compreender as motivações e os objetivos de um invasor só pode ajudá-lo a fortalecer sua segurança e a encontrar melhores estratégias para proteger sua empresa.
*Chris Stephen é engenheiro sênior de Vendas da Cylance
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…