Definição de "ameaças persistentes avançadas (APT)"

O que é uma ameaça persistente avançada?

Ameaças persistentes avançadas (APTs) são um ciberataque sofisticado e contínuo em que um invasor estabelece uma presença não detectada em uma rede para roubar dados confidenciais por um longo período de tempo. Um ataque de APT é cuidadosamente planejado e projetado para se infiltrar em uma organização específica, driblar as medidas de segurança existentes e passar despercebido.

Executar um ataque de APT requer um grau maior de personalização e sofisticação do que um ataque tradicional. Os adversários normalmente são equipes experientes e com grande financiamento de cibercriminosos que têm como alvo organizações de alto valor. Eles dedicam muito tempo e recursos pesquisando e identificando vulnerabilidades dentro da organização.

Os objetivos dos APTs se enquadram em quatro categorias gerais:

• Espionagem cibernética, incluindo roubo de propriedade intelectual ou segredos de estado
• E-crime para ganho financeiro
• Hacktivismo
• Destruição

Quais são os três estágios de um ataque de APT?

Para prevenir, detectar e resolver uma APT, você deve reconhecer suas características. A maioria das APTs segue o mesmo ciclo de vida básico de infiltração em uma rede, expansão do acesso e êxito no objetivo do ataque, que geralmente consiste em extrair dados da rede para roubá-los.

Estágio 1: infiltração

Na primeira fase, ameaças persistentes avançadas geralmente ganham acesso por meio de técnicas de engenharia social. Uma indicação de uma APT é um e-mail de phishing que visa seletivamente indivíduos de alto nível, como executivos seniores ou líderes de tecnologia, em geral usando informações obtidas de outros membros da equipe que já foram comprometidos. Ataques por e-mail que têm como alvo indivíduos específicos são chamados de "spear phishing".

O e-mail pode parecer vir de um membro da equipe e incluir referências a um projeto em andamento. Se vários executivos relatarem ter sido enganados por um ataque de spear phishing, comece a procurar outros sinais de uma APT.

Estágio 2: escalonamento e movimento lateral

Após o acesso inicial, os invasores inserem malware na rede de uma organização para passar para a segunda fase, a expansão. Eles se movem lateralmente para mapear a rede e coletar credenciais, como nomes de contas e senhas, visando acessar informações comerciais críticas.

Também podem estabelecer um “backdoor” — um esquema que os permite entrar furtivamente na rede mais tarde para realizar operações furtivas. Pontos de entrada adicionais são frequentemente estabelecidos para garantir que o ataque possa continuar se um ponto de comprometimento for descoberto e fechado.

Estágio 3: exfiltração

Para se preparar para a terceira fase, os cibercriminosos normalmente armazenam informações roubadas em um local seguro dentro da rede até coletarem dados suficientes. Em seguida, extraem, ou "exfiltram", sem detecção. Eles podem usar táticas como ataques de DoS (denial-of-service, negação de serviços) para distrair a equipe de segurança e deixar a equipe de rede ocupada enquanto os dados estão sendo exfiltrados. A rede pode permanecer comprometida, esperando que os ladrões retornem a qualquer momento.

Características de um ataque de APT

Como ameaças persistentes avançadas usam técnicas diferentes das dos hackers comuns, elas deixam sinais diferentes. Além das campanhas de spear phishing que têm como alvo os líderes das organizações, os sintomas de um ataque de ameaça persistente avançada incluem:

• Atividade incomum na conta do usuário, como aumento no número de logins de funcionários do alto escalão durante a noite
• Presença generalizada de cavalos de Troia no backdoor
• Pacotes de dados inesperados ou incomuns, que podem indicar que os dados foram acumulados em preparação para exfiltração
• Fluxos de informações inesperados, como anomalias em dados de saída ou um aumento repentino e incomum em operações de banco de dados envolvendo grandes volumes de dados

Exemplos de ameaças persistentes avançadas

Atualmente, a CrowdStrike rastreia mais de 150 adversários em todo o mundo, incluindo estados-nação, eCriminals e hacktivistas.

Aqui estão alguns exemplos notáveis de APTs detectadas pela CrowdStrike:

• O GOBLIN PANDA (APT27) foi observado pela primeira vez em setembro de 2013, quando a CrowdStrike descobriu indicadores de ataque (IOAs) na rede de uma empresa de tecnologia que opera em vários setores. Este adversário sediado na China usa dois documentos exploit do Microsoft Word com temas relacionados a treinamento para soltar arquivos maliciosos quando abertos. Leia nosso perfil completo de APT sobre o Goblin Panda.
• O FANCY BEAR (APT28), um invasor com sede na Rússia, usa mensagens de phishing e websites de spoofing que se assemelham muito aos websites legítimos para acessar computadores convencionais e dispositivos móveis. Leia nosso perfil completo do perfil de grupo de APT sobre o Fancy Bear.
• O Cozy Bear (APT29) é um adversário de origem russa que provavelmente age em nome do Serviço de Inteligência Estrangeira da Federação Russa. Esse adversário foi identificado utilizando campanhas de spear phishing de grande volume para injetar uma ampla gama de tipos de malware como parte de um esforço de atacar entidades políticas, científicas e de segurança nacional em diversos setores. Leia nosso perfil de grupo de APT sobre o Cozy Bear.
• O Ocean Buffalo (APT32) é um adversário de intrusão direcionada baseado no Vietnã que supostamente está ativo desde pelo menos 2012. Esse adversário é conhecido por empregar uma ampla gama de técnicas, táticas e procedimentos (TTPs) para incluir o uso de métodos personalizados e ferramentas prontas para uso, bem como a distribuição de malware por meio de operações de comprometimento estratégico da Web (SWC) e e-mails de spear phishing contendo anexos maliciosos.
• O HELIX KITTEN (APT34) está ativo desde pelo menos o final de 2015 e provavelmente está baseado no Irã. Ele tem como alvo organizações nos setores aeroespacial, energético, financeiro, governamental, de hospitalidade e telecomunicações e usa mensagens de spear phishing bem pesquisadas e estruturadas que são altamente relevantes para atacar os funcionários. Leia o perfil completo de APT sobre o HELIX KITTEN.
• O Wicked Panda (APT41) foi um dos adversários mais prolíficos e eficazes sediados na China de meados da década de 2010 até a década de 2020. A Inteligência CrowdStrike avalia que o Wicked Panda consiste em um superconjunto de grupos envolvendo vários contratados que atuam nos interesses do Estado chinês, ao mesmo tempo em que realizam atividades criminosas com fins lucrativos, provavelmente com alguma forma de aprovação tácita de oficiais do Partido Comunista Chinês (PCC). Leia o perfil completo de APT sobre o WICKED PANDA.

Como se proteger contra ataques de APT?

Existem muitas soluções de cibersegurança e inteligência disponíveis para auxiliar a organização a se proteger melhor contra ataques de APT. Aqui estão algumas das melhores táticas a serem empregadas:

• Cobertura de sensor. As organizações devem implementar capacidades que proporcionem aos seus defensores visibilidade total sobre o ambiente, para evitar pontos cegos que possam ser usados como porto seguro para ciberameaças.
• Inteligência técnica. Aproveite a inteligência técnica, como indicadores de comprometimento (IOCs), e consuma esses dados com um gerenciador de informações e eventos de segurança (SIEM) para fins de enriquecimento de dados. Isso permite inteligência adicional ao conduzir correlação de eventos, potencialmente destacando eventos na rede que, de outra forma, poderiam ter passado despercebidos.
• Provedor de serviço. A parceria com uma empresa de cibersegurança de ponta é uma necessidade. Caso o impensável aconteça, a organização poderá precisar de assistência para responder a uma ciberameaça sofisticada.
• Um WAF (Web application firewall, firewall de aplicação da web) é um dispositivo de segurança desenvolvido para proteger organizações no nível da aplicação. Para isso, ele filtra, monitora e analisa tráfego HTTP e HTTPS entre a aplicação da web e a Internet.
• Inteligência de ameaças. A inteligência de ameaças ajuda a traçar os perfis de atores de ameaças e rastrear campanhas e família de malware. Atualmente, é mais importante entender o contexto de um ataque do que apenas saber que o ataque em si aconteceu, e é aí que entra a inteligência de ameaças desempenha um papel vital.
• Investigação de ameaças. Muitas organizações encontrarão a necessidade de investigação de ameaças 24 horas por dia, 7 dias por semana, gerenciada e baseada em humanos, para acompanhar sua tecnologia de cibersegurança já instalada.

Proteção avançada contra ameaças da CrowdStrike: a importância da velocidade

O conceito mais essencial em cibersegurança hoje é a rapidez. Para se defender, você deve ser mais rápido que seu adversário. Na CrowdStrike, usamos o tempo para comprometimento para avaliar a sofisticação operacional de um ator de ameaças e estimar a velocidade com que uma resposta é necessária.

Tempo para comprometimento é quanto tempo um invasor leva para começar a se mover lateralmente em uma rede após acessá-la. É uma métrica crítica para monitorar a rapidez com que um adversário pode operar e para avaliar os tempos de detecção e resposta de uma equipe de segurança.

A detecção e resposta de endpoint (EDR) do Falcon Insight, outra peça essencial da plataforma Falcon, procura IOAs para interromper ataques antes que os dados sejam perdidos. A solução CrowdStrike Adeversary Intelligence auxilia as investigações de incidentes e acelera a resposta a ataques, integrando perfeitamente inteligência de ameaças automatizada e indicadores personalizados na proteção endpoint. Combinado com a experiência da equipe global CrowdStrike Falcon® Intelligence™, a plataforma Falcon permite que organizações de qualquer tamanho respondam mais rapidamente e se antecipem ao próximo ataque de APT.