Até anos atrás o cenário típico de hacking envolvia um atacante solitário e talvez alguns amigos trabalhando até tarde da noite no Mountain Dew, procurando por endereços IP voltados para o público. Quando eles encontraram um, eles enumeraram os serviços de publicidade (servidor Web, servidor SQL e assim por diante), invadiram a empresa usando uma infinidade de vulnerabilidades, e então exploraram a empresa comprometida de acordo com o conteúdo do seu coração. Muitas vezes a intenção deles era exploratória. Se eles faziam algo ilegal, era tipicamente um crime de oportunidade.

Meu, como os tempos mudaram.

Ao descrever um cenário típico de hacking, hoje em dia você deve começar bem antes do hack ou mesmo do hacker, com a organização por trás do ataque. Hoje, o hacking é todo crime, o tempo todo, completo com mercados de licitação para malware, sindicatos do crime, botnets para contratar, atores do estado, e guerra cibernética que se tornaram um alvoroço.

Aqui estão as nove maiores ameaças que os profissionais de segurança de TI de hoje enfrentam.

Ameaça No. 1: Sindicatos do crime cibernético

Embora o único cérebro do crime ainda exista, hoje em dia a maioria dos ataques de hacking maliciosos são o resultado de grupos organizados, muitos dos quais são profissionais. Os grupos tradicionais de crime organizado que costumavam dirigir drogas, jogos de azar, acusação e extorsão lançaram seus chapéus no ringue de apanha de dinheiro online, mas a competição é feroz, liderada não por mafiosos, mas por vários grupos muito grandes de criminosos profissionais voltados especificamente para o crime cibernético.

Muitos dos sindicatos de crime cibernético organizado mais bem sucedidos são empresas que lideram grandes grupos de conglomerados afiliados, muito na veia de hierarquias de marketing distribuídas legalmente. Na verdade, o cibercrime de hoje provavelmente tem mais em comum com um representante da Avon ou da Mary Kay do que qualquer um deles quer admitir.

Os pequenos grupos, com poucos membros, ainda hackeiam, mas cada vez mais, os profissionais de segurança de TI estão enfrentando grandes corporações dedicadas ao comportamento delinqüente. Pense em funcionários em tempo integral, departamentos de RH, equipes de gerenciamento de projetos e líderes de equipe. E tudo isso é criminoso, sem mais mensagens engraçadas impressas na tela ou outras brincadeiras de adolescente. A maioria opera em campo aberto, e alguns — como a Russian Business Network — têm até suas próprias entradas na Wikipedia. Faz você desejar para o ano passado, não faz?

Especialização e divisão do trabalho estão no coração dessas organizações. Um único mestre, ou um círculo interno, vai dirigir o coletivo. Sargentos e subdivisões serão especializados em diferentes áreas, com um braço dedicado à criação de malware, outro dedicado ao marketing, outro que estabelece e mantém o canal de distribuição, e ainda outro encarregado de criar botnets e alugá-los a outros malfeitores (veja abaixo).

Não é de admirar porque as práticas populares de segurança de TI simplesmente não funcionam contra o malware de hoje, dado que o crime cibernético evoluiu para uma indústria orientada a serviços em vários níveis, com o objetivo gritante de tirar empresas e pessoas do seu dinheiro e propriedade intelectual.

Ameaça No. 2: Pequenos golpes – e as mulas de dinheiro e lavadores que os suportam

Nem todas as organizações criminosas cibernéticas são sindicatos ou corporações. Algumas são simplesmente de natureza empresarial, pequenas empresas depois de uma coisa: dinheiro.

Estas operações maliciosas de mãe e pai podem roubar identidades e senhas, ou podem causar redirecionamento nefasto para obtê-lo. No final, eles querem dinheiro. Eles iniciam transações fraudulentas com cartão de crédito ou bancárias e convertem seus ganhos obtidos em moeda local usando mulas de dinheiro, distribuição eletrônica de dinheiro, e-banking, ou algum outro tipo de lavagem de dinheiro.

Não é difícil encontrar lavadores de dinheiro. Há dezenas a centenas de entidades que competem para ser a que consegue um grande corte percentual do saque obtido ilegalmente. Na verdade, você ficaria surpreso com a natureza competitiva e pública de todas as outras pessoas que imploram para fazer negócios de suporte com criminosos da Internet. Eles anunciam “sem perguntas”, hospedagem “à prova de balas” em países longe do alcance de intimações legais, e oferecem quadros de avisos públicos, software especial, suporte telefônico 24 horas por dia, fóruns de licitação, referências de clientes satisfeitos, habilidades para evitar malwares, e todo o serviço que ajuda outros a serem melhores criminosos online. Um bom número destes grupos ganha dezenas de milhões de dólares por ano.

Muitos destes grupos e as pessoas por trás deles foram identificadas (e presas) ao longo dos últimos anos. Os seus perfis nas redes sociais mostram pessoas felizes, com casas grandes, carros caros e famílias satisfeitas a tirar férias no estrangeiro. Se eles são um pouco culpados por roubar dinheiro de outros, isso não aparece.

Imagine os churrascos de bairro onde eles dizem aos vizinhos e amigos que eles dirigem um “negócio de marketing na Internet” — todo o tempo engenharia social seu caminho a milhões para a consternação dos profissionais de segurança de TI que fizeram quase tudo o que você pode para proteger os usuários de si mesmos.

Ameaça No. 3: Hacktivistas

Onde a exploração da gabarolice não era incomum nos primeiros dias, o ciber-criminoso de hoje procura voar sob o radar — com exceção das crescentes legiões de hacktivistas.

Os profissionais de segurança de TI têm que enfrentar um número crescente de confederações soltas de indivíduos dedicados ao ativismo político, como o infame grupo Anônimo. Os hackers motivados politicamente existem desde o nascimento do hacking. A grande mudança é que mais está sendo feito abertamente, e a sociedade está reconhecendo isso como uma forma aceita de ativismo político.

Os grupos de hacking político frequentemente se comunicam, anonimamente ou não, em fóruns abertos anunciando seus alvos e ferramentas de hacking antes do tempo. Eles reúnem mais membros, levam suas queixas para a mídia para obter apoio público e agem de forma espantosa se forem presos por seus atos ilegais. Sua intenção é envergonhar e trazer a atenção negativa da mídia para a vítima tanto quanto possível, quer isso inclua hackear informações de clientes, cometer ataques de negação de serviço distribuída (DDoS), ou simplesmente causar à empresa vítima um conflito adicional.

Hacktivismo político é na maioria das vezes a intenção de causar dor monetária à sua vítima, numa tentativa de mudar o comportamento da vítima. Os indivíduos podem ser danos colaterais nesta luta, e independentemente de acreditarem na causa política do hacktivista, a intenção e a metodologia permanecem criminosas.

Ameaça Nº 4: Roubo de propriedade intelectual e espionagem corporativa

A maioria dos profissionais de segurança de TI tem que enfrentar o grande grupo de hackers maliciosos que roubam propriedade intelectual de empresas ou realizam espionagem corporativa direta. Seu método é invadir os ativos de TI de uma empresa, despejar todas as senhas e, com o tempo, roubar gigabytes de informações confidenciais: patentes, novas idéias de produtos, segredos militares, informações financeiras, planos de negócios e assim por diante. Eles passam informações valiosas aos seus clientes para obter ganhos financeiros e permanecem escondidos dentro da rede da empresa comprometida durante o máximo de tempo possível.

Para colher suas recompensas, eles escutam e-mails importantes, invadem bancos de dados e ganham acesso a tantas informações que muitos começaram a desenvolver seus próprios mecanismos de busca maliciosos e ferramentas de consulta para separar a forragem da propriedade intelectual mais interessante.

Este tipo de atacante é conhecido como uma ameaça persistente avançada (APT) ou adversário humano determinado (DHA). Poucas grandes empresas não foram comprometidas com sucesso por essas campanhas.

Ameaça No. 5: Mercenários Malware

Não importa qual a intenção ou grupo por trás do crime cibernético, alguém tem que fazer o malware. No passado, um único programador fazia malware para seu próprio uso, ou talvez para vender. Hoje, existem equipes e empresas dedicadas exclusivamente a escrever malware para contornar defesas de segurança específicas, atacar clientes específicos, e atingir objetivos específicos. Eles são vendidos no mercado aberto em fóruns de licitação.

A maior parte das vezes o malware é multifásico e componentizado. Um programa de stub menor é encarregado da exploração inicial do computador da vítima, e uma vez colocado em segurança para garantir que ele viva através de um reinício, ele entra em contato com um servidor web “nave-mãe” para obter mais instruções. Muitas vezes o programa de stub inicial envia consultas DNS à procura da nave-mãe, ela própria muitas vezes um computador comprometido agindo temporariamente como uma nave-mãe. Essas consultas DNS são enviadas para servidores DNS que têm a mesma probabilidade de serem computadores vítimas inocentemente infectados. Os servidores DNS mudam de computador para computador, assim como os servidores web da nave mãe fazem.

Once contactado, o DNS e o servidor da nave mãe frequentemente redireccionam o cliente de stub inicial para outros servidores DNS e servidores da nave mãe. Desta forma, o cliente stub é direcionado repetidamente (muitas vezes mais de uma dúzia de vezes) para computadores recém explorados, até que eventualmente o programa stub recebe suas instruções finais e o programa malicioso mais permanente é instalado. Esta configuração torna muito difícil para os profissionais de segurança de TI se defenderem contra seus produtos.

Ameaça No. 6: Botnets como serviço

Botnets não são mais apenas para os seus criadores. Tendo provavelmente comprado o programa malware que cria o bot, os donos de hoje ou usarão a rede de bots para si mesmos ou alugá-la a outros por hora ou outra métrica.

A metodologia é familiar. Cada versão do programa malware tenta explorar até dezenas de milhares de computadores em um esforço para criar uma única botnet que irá operar por ordem do criador. Cada bot na botnet eventualmente se conecta de volta ao seu servidor(s) de comando e controle (C&C) para obter suas últimas instruções. Essas instruções frequentemente incluem a entrega de um programa ransomware. Botnets foram encontrados com centenas de milhares de computadores infectados.

Agora existem tantos botnets ativos (dezenas de milhões de computadores infectados a cada dia), o aluguel de botnets é bastante barato, o que significa mais problemas para os profissionais de segurança de TI.

Os lutadores de malware tentarão frequentemente derrubar os servidores C&C ou tomá-los para que eles possam instruir os bots de conexão a desinfectar os seus computadores anfitriões e morrer.

Ameaça No. 7: Malwares All-in-one

Programas sofisticados de malware muitas vezes oferecem a funcionalidade all-in-one, sopa a porca. Eles não só infectarão o usuário final, mas também invadirão websites e os modificarão para ajudar a infectar mais vítimas. Estes programas maliciosos tudo-em-um muitas vezes vêm com consoles de gerenciamento para que seus proprietários e criadores possam acompanhar o que a botnet está fazendo, quem eles estão infectando, e quais são os mais bem sucedidos.

Os programas maliciosos são, na maioria das vezes, cavalos de Tróia. Os vírus e worms de computador há muito deixaram de ser os tipos mais populares de malware. Na maioria dos casos, o usuário final é enganado para executar um cavalo de Tróia que é anunciado como um exame antivírus necessário, ferramenta de desfragmentação de disco ou algum outro utilitário aparentemente essencial ou inócuo. As defesas normais do usuário são enganadas porque na maioria das vezes a página da Web que oferece o executável desonesto é um site confiável que ele já visitou muitas vezes. Os bandidos simplesmente comprometeram o site, usando uma série de truques, e inseriram algumas linhas de JavaScript que redirecionam os navegadores do usuário para o programa Cavalo de Tróia.

Ameaça No. 8: A web cada vez mais comprometida

No nível mais básico, um site é simplesmente um computador, assim como uma estação de trabalho normal do usuário final. Por sua vez, os webmasters são usuários finais como todos os outros. Não é surpreendente encontrar a Web legítima repleta de links maliciosos de redirecionamento JavaScript.

Não é inteiramente uma questão de os computadores dos webmasters serem explorados que está levando ao aumento do comprometimento dos servidores web. Mais frequentemente, os atacantes encontram uma fraqueza ou vulnerabilidade num website que lhes permite contornar a autenticação administrativa e escrever scripts maliciosos.

Vulnerabilidades comuns de websites incluem senhas pobres, vulnerabilidades de scripts cross-site, injeção SQL, software vulnerável e permissões inseguras. A lista Top 10 do Open Web Application Security Project é a autoridade sobre como a maioria dos servidores web ficam comprometidos.

Muitas vezes não é o servidor web ou seu software aplicativo, mas algum link ou anúncio que é invadido. É comum que os banners publicitários, que são frequentemente colocados e rodados por agências de publicidade em geral, acabem infectados. Diabos, os malfeitores às vezes compram espaço publicitário em servidores Web populares.

Porque muitos dos malfeitores se apresentam como empresários de corporações legítimas, completos com sedes corporativas, cartões de visita e contas de despesas, nem sempre é tão fácil separar as fontes de anúncios legítimos dos malfeitores, que muitas vezes começam a anunciar um produto legítimo apenas para mudar o link do anúncio para um produto desonesto depois que a campanha publicitária está em andamento. Uma das explorações mais interessantes envolveu hackers que comprometeram um sindicato de cartoons, de modo que cada jornal republicando os cartoons afetados acabou empurrando malware. Você não pode mais confiar em um desenho animado.

Outro problema com sites hackeados é que os computadores que hospedam um site muitas vezes podem hospedar vários sites, às vezes numerando em centenas ou milhares. Um site hackeado pode rapidamente levar a milhares mais.

Não importa como o site foi hackeado, o usuário inocente, que pode ter visitado este site em particular por anos sem problema, um dia é solicitado a instalar um programa inesperado. Embora eles estejam surpresos, o fato de a solicitação vir de um site que eles conhecem e confiam é suficiente para fazê-los executar o programa. Depois disso, é o fim do jogo. O computador do usuário final (ou dispositivo móvel) é mais uma engrenagem na grande botnet de alguém.

Ameaça No. 9: Guerra Cibernética

Nation-state cyber warfare programas estão em uma classe para si mesmos e não são algo que a maioria dos profissionais de segurança de TI enfrentam em suas rotinas diárias. Estas operações encobertas criam programas de guerra cibernética complexos e profissionais com a intenção de monitorar os adversários ou retirar a funcionalidade de um adversário, mas como Stuxnet e Duqu mostram, as consequências destes métodos podem ter consequências para mais do que apenas os alvos pretendidos. Agora até temos Estados-nação, como a Coreia do Norte, derrubando e explorando uma empresa Fortune 500 porque não gostou de um filme em particular.

Crime e sem punição

Algumas vítimas nunca se recuperam da exploração. Seu registro de crédito é para sempre marcado pela transação fraudulenta de um hacker, o malware usa a lista de endereços da vítima para se encaminhar a amigos e familiares, vítimas de roubo de propriedade intelectual gastam dezenas de milhões de dólares em reparos e prevenção.

A pior parte é que quase nenhum dos que usam os ataques maliciosos acima são processados com sucesso. Os criminosos profissionais na Internet estão vivendo em grande escala porque a Internet não é boa para produzir provas passíveis de ação judicial. Mesmo que pudesse, os suspeitos estão vivendo fora da jurisprudência do tribunal da vítima. A maioria dos hackers é anônima por padrão, e os rastros são perdidos e encobertos em milissegundos. Neste momento, vivemos nos dias “selvagens, selvagens do oeste” da internet. À medida que amadurece, os portos seguros dos criminosos vão secar. Até lá, os profissionais de segurança informática têm o seu trabalho cortado para eles.