Por definição, umaameaça persistente avançada (APT)é um ataque prolongado e direcionado a uma vítima específica com a intenção de comprometer seu sistema e obter informações desse alvo ou sobre ele.
Há cerca de uma década, o termo era usado principalmente para se referir a agentes de ameaças patrocinados pelo Estado. Usei aqui o termo “agentes de ameaças” porque, no Estado em que operavam e para o qual trabalhavam, eles não eram vistos como cibercriminosos. É claro que essa percepção muda quando você é vítima de um ataque desse tipo.
Quando essas ameaças foram identificadas pela primeira vez, seus alvos eram governos e organizações militares. Hoje em dia, o alvo pode ser qualquer pessoa, organização ou empresa. É comum vermos ataques a serviços de saúde, telecomunicações, finanças, MSPs, plataformas SaaS e fornecedores da cadeia de suprimentos.
“APT” é frequentemente usado como um rótulo dramático para qualquer violação grave, mesmo que tenha sido de curta duração ou oportunista. Então, vamos analisar o nome para ver o que realmente se qualifica como um APT.
Avançado
Advanced significa necessariamente hacking ao nível de Hollywood, mas significa que os atacantes são deliberados e bem preparados. Eles costumam combinar várias técnicas: comprar ou descobrir novas falhas de software desconhecidas (as chamadas vulnerabilidades zero-day), abusar de bugs antigos, mas não corrigidos, e criar e-mails de phishing muito convincentes que parecem mensagens genuínas de colegas ou parceiros. Eles também podem usar ferramentas administrativas legítimas já presentes na rede, o que torna suas atividades mais difíceis de serem detectadas, pois parecem um trabalho normal de TI, oschamados LOLbins(Living Off the Land Binaries).
Na prática, “avançado” não significa tanto usar a ferramenta mais sofisticada, mas sim escolher a combinação certa de ferramentas e táticas para uma vítima específica. Um grupo APT pode passar semanas estudando as pessoas, os sistemas e os fornecedores de um alvo e, em seguida, analisar esses dados com a ajuda de uma IA. Dessa forma, quando finalmente agirem, terão mais chances de obter sucesso na primeira tentativa.
Persistente
A persistência é o que torna as APTs tão perigosas. Esses invasores não se importam com um ataque rápido e fugaz. Eles querem invadir, permanecer dentro e continuar voltando enquanto o acesso for útil para eles. Se os defensores descobrirem suas atividades e os expulsarem de um sistema, eles podem usar outra porta dos fundos que prepararam anteriormente ou simplesmente se reagrupar e procurar uma nova maneira de entrar.
Ser persistente também significa que eles agem de forma lenta e silenciosa. Os invasores podem passar meses explorando a rede, criando vários pontos de entrada ocultos e verificando regularmente se há novos dados que valham a pena roubar. Do ponto de vista do defensor, isso transforma o incidente de um evento único em uma campanha contínua. É preciso presumir que os invasores tentarão novamente, mesmo depois que você achar que os removeu.
Ameaça
A palavra ameaça não implica que apenas um tipo demalwareesteja envolvido. Uma APT geralmente inclui vários tipos de ataques. Ela se refere a toda a operação: as pessoas, suas ferramentas e sua infraestrutura, não apenas um único malware.
Um APT pode envolver phishing, exploração de vulnerabilidades, instalação de ferramentas de acesso remoto e roubo ou uso indevido de senhas. Juntas, essas atividades formam uma ameaça aos sistemas e dados da organização.
Por trás da ameaça está uma equipe com um objetivo (por exemplo, roubar projetos confidenciais, espionar comunicações ou se preparar para futuras interrupções) e com a paciência e os recursos necessários para continuar pressionando até atingir esse objetivo.
Como se manter seguro
Para evitar ser vítima de um APT, considere que você pode estar enfrentando um adversário formidável.
- Tenha cuidado com e-mails, mensagens e anexos inesperados, não apenas no trabalho.
- Use chaves de acesso sempre que possível e senhas fortes e exclusivas quando não for possível, além de um gerenciador de senhas.
- Ative a autenticação multifator (MFA) sempre que possível.
- Mantenha seu software e hardware atualizados, especialmente os equipamentos de rede voltados para o público.
- Use uma solução antimalware atualizada e em tempo real, de preferência com um componente de proteção da web.
- Anote qualquer atividade fora do comum e comunique-a, pois mesmo pequenos detalhes podem revelar-se importantes mais tarde.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
