O que são Infostealers e como proteger sua empresa desse tipo de ataque

Atualmente, quando se fala sobre segurança da informação, em geral, o board das companhias fica bastante preocupado com os ataques de ransomwares, que são os mais divulgados na grande imprensa e, realmente, têm gerado muitos danos às companhias. Mas é preciso atenção, também, aos Malwares Infostealers, outra ameaça que tem tirado o sono dos CIOs ao redor do mundo.

Detalhes relacionados ao Malwares Infostealers foram amplamente explorados em um webinar da NovaRed, no rico bate-papo entre o nosso diretor de operações, Adriano Galbiati, e Thiago Bordini, Head de Cyber Threat Intelligence na AXUR. Visto que alguns dos principais pontos dessa conversa estão destacados a seguir. Mas recomendamos assistir o vídeo para se aprofundar no assunto.

O que são Infostealers?

Trata-se de uma categoria das categorias de malware e que tem o objetivo de extrair informações sensíveis, confidenciais e/ou estratégicas de uma vítima para a comercialização desses dados na dark web. Aos cibercriminosos adeptos desse ataque interessam dados de hardwares, sistemas operacionais, programas instalados, endereços de IPs, geolocalização, credenciais de acesso, dados pessoais, senhas, logins, informações de cartão de crédito, perfis de redes sociais e plataformas de games e de comunicação, por exemplo. 

No momento em que, os criminosos podem se valer tanto da técnica de “keystrokes”, que grava o que está sendo digitado no ambiente digital, que captura imagens das telas da vítima. Isso, tanto em Windows, Linux, Mac ou dispositivos móveis. Em geral, os ataques chegam à organização via phishing ou ativadores “pirata” de licença. Aliás, a exfiltração das informações costuma ser feita por canais lícitos, como slack e telegram, o que dificulta a detecção de um comportamento suspeito no ambiente.

Sete erros comuns de organizações vítimas de Infostealers

De acordo com nossas pesquisas de threat intelligence e nosso contato diário com clientes e profissionais da área de TI e SI nos permitem afirmar que o roubo de credenciais tem aumentado de maneira exponencial. O mercado do cibercrime evolui a passos largos enquanto algumas companhias seguem sendo atacadas por erros bastante básicos, como:

1. Falta de treinamento da equipe sobre as boas práticas em segurança da informação;
2. Falta de Autenticação Multifator ou MFA mal configurado;
3. Instalação de softwares crackeados no ambiente; 
4. Falta de monitoração focada em usuários VIP;
5. Falta de política de troca de senha;
6. Falta de gestão de endpoint; e
7. Senhas fracas ou repetidas.

Três fases de um ataque de Malwares Infostealers

Em geral, o cibercriminoso responsável pelo ataque de Infostealers deseja apenas comercializar os dados da vítima e não utilizá-los. Por saber que pode existir pouco tempo entre o roubo das informações e a reação de quem foi roubado, ele se apressa em seguir os três passos a seguir, que precedem a indexação das informações por plataformas:

1. Infecta o ambiente digital da vítima e coleta o maior número de informações úteis;
2. Disponibiliza os dados para venda;
3. Distribui as informações em grupos e fóruns específicos como forma de ganhar “autoridade/ reconhecimento” em sua missão como invasor.

O que mapear em resposta ao incidente

Não é possível retirar da web o que está vazado. Mas é imprescindível fazer um mapeamento em resposta ao incidente para mitigar riscos. Isso inclui pergunta, como:

• Trata-se de uma máquina corporativa ou do colaborador?
• Qual foi o vetor inicial de ataque?
• Como a máquina foi infectada?
• Por que as soluções de defesa existentes não detectaram/ bloquearam o ataque?
• Quais os prejuízos foram causados?
• Quantas máquinas afetadas?
• Quais ações o atacante conseguiu efetuar (acesso a informações confidenciais, criação de usuários, alteração de regras de firewall ou de email, cadastro de exceção de antivírus ou implementação de método de persistência, por exemplo)?

Dessa maneira, nós sabemos o quanto pode ser desafiador implementar ou repensar a cibersegurança de uma organização. Por isso, os nossos especialistas estão à disposição para esclarecer as suas dúvidas. Vamos agendar uma reunião?