Por definição, umaameaça persistente avançada (APT)é um ataque prolongado e direcionado a uma vítima específica, com a intenção de comprometer o seu sistema e obter informações desse alvo ou sobre ele.
Há cerca de uma década, o termo era usado principalmente para referir-se a agentes de ameaças patrocinados pelo Estado. Usei aqui o termo «agentes de ameaças» porque, no Estado onde operavam e para o qual trabalhavam, eles não eram vistos como cibercriminosos. É claro que essa perceção muda quando se é vítima de um ataque desse tipo.
Quando essas ameaças foram identificadas pela primeira vez, os seus alvos eram governos e organizações militares. Hoje em dia, o alvo pode ser qualquer pessoa, organização ou empresa. É comum vermos ataques a serviços de saúde, telecomunicações, finanças, MSPs, plataformas SaaS e fornecedores da cadeia de abastecimento.
«APT» é frequentemente usado como um rótulo dramático para qualquer violação grave, mesmo que tenha sido de curta duração ou oportunista. Então, vamos analisar o nome para ver o que realmente se qualifica como um APT.
Avançado
Advanced significa necessariamente hacking ao nível de Hollywood, mas significa que os atacantes são deliberados e bem preparados. Eles costumam combinar várias técnicas: comprar ou descobrir novas falhas de software desconhecidas (as chamadas vulnerabilidades zero-day), abusar de bugs antigos, mas não corrigidos, e criar e-mails de phishing muito convincentes que parecem mensagens genuínas de colegas ou parceiros. Eles também podem usar ferramentas administrativas legítimas já presentes na rede, o que torna a sua atividade mais difícil de detectar, pois parece um trabalho normal de TI, oschamados LOLbins(Living Off the Land Binaries).
Na prática, «avançado» não significa tanto usar a ferramenta mais sofisticada, mas sim escolher a combinação certa de ferramentas e táticas para uma vítima específica. Um grupo APT pode passar semanas a estudar as pessoas, os sistemas e os fornecedores de um alvo e, em seguida, analisar esses dados com a ajuda de uma IA. Dessa forma, quando finalmente agirem, terão mais hipóteses de obter sucesso à primeira tentativa.
Persistente
A persistência é o que torna as APTs tão perigosas. Esses invasores não se importam com um ataque rápido do tipo «bate e corre». Eles querem invadir, permanecer dentro e continuar voltando enquanto o acesso for útil para eles. Se os defensores descobrirem a atividade deles e os expulsarem de um sistema, eles podem usar outra porta dos fundos que prepararam anteriormente ou simplesmente se reagrupar e procurar uma nova maneira de entrar.
Ser persistente também significa que eles agem de forma lenta e silenciosa. Os invasores podem passar meses explorando a rede, criando vários pontos de entrada ocultos e verificando regularmente se há novos dados que valham a pena roubar. Do ponto de vista do defensor, isso transforma o incidente de um evento único em uma campanha contínua. É preciso presumir que os invasores tentarão novamente, mesmo depois de você achar que os removeu.
Ameaça
A palavra ameaça não implica que apenas um tipo demalwareesteja envolvido. Um APT geralmente inclui vários tipos de ataques. Refere-se a toda a operação: as pessoas, as suas ferramentas e a sua infraestrutura, não apenas um malware.
Um APT pode envolver phishing, exploração de vulnerabilidades, instalação de ferramentas de acesso remoto e roubo ou uso indevido de palavras-passe. Juntas, essas atividades formam uma ameaça aos sistemas e dados da organização.
Por trás da ameaça está uma equipa com um objetivo (por exemplo, roubar projetos confidenciais, espionar comunicações ou preparar-se para futuras perturbações) e com a paciência e os recursos necessários para continuar a pressionar até atingir esse objetivo.
Como se manter seguro
Para evitar ser vítima de um APT, considere que poderá estar a enfrentar um adversário formidável.
- Tenha cuidado com e-mails, mensagens e anexos inesperados, não apenas no trabalho.
- Use chaves de acesso sempre que possível e senhas fortes e exclusivas quando não for possível, além de um gerenciador de senhas.
- Ative a autenticação multifator (MFA) sempre que possível.
- Mantenha o seu software e hardware atualizados, especialmente os equipamentos de rede voltados para o público.
- Use uma solução antimalware atualizada e em tempo real, de preferência com um componente de proteção da web.
- Tome nota de qualquer atividade fora do comum e comunique-a, pois mesmo pequenos detalhes podem revelar-se importantes mais tarde.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
