Sequestro de Dados Organizacionais: como os Infostealers funcionam?

Atualmente é cada vez mais comum acompanharmos notícias sobre sequestros de dados que afetam organizações ao redor do mundo, incluindo as que estão no Brasil. E, nesse mercado ilegal, um dos produtos que tem causado dores de cabeça aos gestores de TI, SI e de negócios é o Infostealer. Isso faz com que os profissionais de cibersegurança vivam em uma eterna dinâmica de gato e rato com os cibercriminosos, que estão com suas operações cada vez mais estruturadas.

Nesse movimento de profissionalização do cibercrime, hoje, já existe a comercialização de  Malware as a Service (MaaS).

Quer entender mais sobre o que estamos falando? Então, não deixe de ler esse artigo.

O que é Malware as a Service?

Também conhecido como MaaS ou Malware Como Serviço, esse conceito permite a comercialização de softwares maliciosos em formato de assinatura. Na prática, isso quer dizer que, pagando um valor por um determinado período, o cibercriminoso tem acesso a dados do mundo todo, podendo, inclusive, filtrá-los conforme a sua necessidade.

O que são Infostealers?

Trata-se de uma categoria de malware focada em coletar informações pessoais como senhas, logins, dados de cartões, wallets, cookies e documentos. Tem capacidade de vazar, em média, 300 credenciais por máquina, além de impactar todo o ambiente digital da companhia a partir do colaborador atingido.

Nessa dinâmica, os cibercriminosos distribuem a ameaça de diversas formas. Pode ser via phishing (golpes comumente aplicados por e-mail) ou no momento da instalação de aplicativos, programas, cracks e ativadores de licenças, por exemplo. Por isso, é preciso atenção e treinamento da equipe quanto às ameaças e boas práticas em cibersegurança.

Os malwares Infostealers, no entanto, são apenas um meio para que outro ataque seja efetivado. Atualmente, grande parte dos grupos de ransomware, uma forma de sequestro de dados, faz uso de malwares Infostealers para facilitar o acesso a uma credencial corporativa, em vez de identificar uma vulnerabilidade no sistema da empresa.

3 funcionalidades dos Infostealers 

1. coletar dados salvos em navegadores (browsers) e em aplicativos
2. gravar as credenciais digitadas pela vítima no teclado (keystrokes)
3. armazenar a movimentação do mouse e da tela da vítima (screenlogger)

2 dois cuidados importantes ao se proteger contra o Infostealers 

Ainda que o ambiente digital da sua empresa conte com uma robusta estrutura de defesa, vale a pena ter especial atenção a duas boas práticas:

1. Cuidado ao implementar a autenticação multifator

Isso porque o segundo fator de autenticação pode ser burlado a partir do momento em que o atacante tem acesso ao login e senha do usuário, mais o cookie de sessão.

2. Aprimoramento da capacidade de respostas a incidentes

Após infectar uma máquina, em geral, o cibercriminoso vende os logs e, na sequência, distribui a informação em grupos e fóruns, onde os dados são redistribuídos e indexados por sites. Isso significa que a resposta da empresa atacada ao incidente precisa ser muito rápida.

2 recorrentes portas de entrada para os Infostealers 

Nesse mapeamento do ambiente, é importante, ainda, se atentar a duas recorrentes portas de entrada de ataques em uma companhia. São elas:

1. Uma máquina corporativa vulnerável

Ou seja, um colaborador que tenha sua máquina corporativa atacada, o que pode indicar vulnerabilidades no sistema de segurança cibernética.

2. Acesso ao ambiente corporativo a partir de uma máquina não homologada

A contaminação pode acontecer, também, quando um colaborador acessa o e-mail corporativo e demais plataformas do trabalho pelo computador pessoal afetado devido a alguma instalação.

Como reagir a um incidente cibernético?

Após ser impactado pelo Infostealer, é importante ter em mente que apenas trocar a senha não é o suficiente se a máquina ainda estiver infectada e suscetível a vazar mais dados para o atacante.

1. Verificar se o dispositivo comprometido é corporativo ou não;

2. Fazer uma análise para entender por que as soluções de antivírus e os sistemas de defesa não conseguiram proteger a máquina;

3. Averiguar se outros computadores e smartphones da empresa também foram ou podem ser atingidos;

4. Trocar todas as credenciais do usuário para fazer a sanitização de dados;

5. Caso o incidente envolva máquinas pessoais, cabe à empresa orientar o colaborador e também estabelecer políticas mais rígidas de segurança da informação.

8 boas prática para mitigar os vetores de ataque cibernético:

1. Habilite o Múltiplo Fator de Autenticação (MFA);
2. Tenha política de troca periódica de senhas;
3. Implemente uma gestão unificada de credenciais;
4. Estabeleça políticas de não salvamento de senhas e de limpeza de cookies em navegadores;
5. Faça o monitoramento contínuo com rápida tomada de ação em credenciais corporativas comprometidas (BEC);
6. Monitore os acessos indevidos às plataformas;
7. Implemente a Gestão de antivírus/EDR/XDR unificada;
8. Tenha uma política de não permissão de instalação de softwares e extensões em navegadores.

Até o momento, nenhuma solução de tecnologia é capaz de garantir a proteção total de um ambiente digital. Mas com os métodos, os processos e as tecnologias adequadas é possível mitigar os ataques, prevê-los e contê-los com rapidez e eficiência. 

Enfim, a jornada é contínua e complexa. Mas nós estamos à disposição para te ajudar a repensar a cibersegurança seu negócio. Vamos agendar uma reunião?