Entendendo os ataques direcionados: O que é um ataque direcionado?

Os ataques direcionados podem ser considerados uma das maiores ameaças cibernéticas para uma organização no cenário atual, conectado a Internet. É o pior caso para uma empresa de qualquer tamanho, pois a empresa visada não só perde sua reputação como pode perder milhões em prejuízos. Nós ouvimos falar de ataques direcionados em manchetes como incidentes de ‘violação de dados’, como os que afetaram a Sony, a Target e o site Ashley Madison.

Por mais sensacionais e prejudiciais que pareçam nas notícias, as violações de dados em si não fazem toda a história. Existe muito mais coisa em um ataque direcionado que põe as grandes empresas de joelhos, já que também são usados para atividades de ciberespionagem contra países e suas agências governamentais.

Então, o que é um ataque direcionado? Como eles são diferentes das ameaças usuais que continuamos a ouvir nas notícias? Estamos aqui para responder a essas perguntas, e outras mais, com essa primeira parte de uma série de artigos abordando a ameaça que pode paralisar lojas de departamento tão facilmente quanto derrubar governos.

Quando um ataque é considerado um ataque direcionado?

Um ataque pode ser considerado como um ataque direcionado quando satisfaz três critérios principais:

  • Os agressores têm um alvo específico em mente e demonstram ter gasto tempo, recursos e esforços consideráveis para configurar ou realizar um ataque direcionado
  • O principal objetivo de um ataque direcionado é se infiltrar na rede do alvo e roubar informações de seus servidores
  • O ataque é persistente, com os agressores gastando um esforço considerável para garantir que o ataque continue para além da penetração inicial na rede e extração de dados

Ataques direcionados são frequentemente descobertos anos após o fato ter acontecido, depois de milhares – e até milhões de registros de cliente ou unidades de informações já terem sido roubados.

Como um ataque direcionado é diferente do hacktivismo?

Hacktivismo ou ativismo relacionados a ataques direcionados são diferentes de ataques direcionados devido à sua natureza pontual e de vandalismo. Geralmente são mais como perturbações – não tão prejudicial e algo que pode ser lidado mais facilmente, como a desfiguração de uma parede pública. Os ataques de hacktivismo muitas vezes não rendem uma penetração na rede e pouco ou nenhum roubo de informação de qualquer tipo.

Eles também são feitos com o máximo de pose e visibilidade – são projetados para ser vistos, ao invés de ficar fora da vista como os ataques direcionados.

Como um ataque direcionado é diferente de uma operação de cibercrime?

A maior diferença entre um ataque direcionado e uma operação de cibercrime é o escopo. Uma operação de cibercrime objetiva vitimizar o máximo de usuários no menor espaço de tempo para superar os esforços de segurança.

Por outro lado, uma operação de ataque direcionado tem um âmbito bem restrito – normalmente limitando seus alvos a apenas uma empresa ou organização.  Às vezes, o escopo é ainda mais reduzido, para um funcionário específico ou alguns funcionários daquela organização. Todo esse trabalho, todo esse esforço, toda essa pesquisa são realizados para garantir que o alvo morda a isca e caia na armadilha – dando a eles um caminho para entrar na rede.

Uma forma fácil de diferenciar um ataque direcionado de uma operação de cibercrime: ataques direcionados são deliberados, propositais e persistentes. Não são automatizados, oportunistas ou indiscriminados por natureza.

Se se descobre que um ataque focou em um alvo específico ou os alvos identificados têm um tema unificador (como empresas do mesmo setor) – maiores são as chances de ser um ataque direcionado.

Por fim, operações de cibercrime também têm em grande parte motivações financeiras ( por exemplo, roubo de credenciais bancárias). Apesar dos ataques direcionados, até um certo ponto, também terem motivações financeiras, o objetivo principal do ataque sempre é roubar informações.

Como um ataque direcionado é diferente de uma APT (Ameaça Avançada Persistente)?

Os ataques direcionados diferem de APTs do mesmo modo que um revólver difere de um rifle de primeira linha, de uso militar: sofisticação, engenharia e usuário.

APTs são ataques que usam códigos e ferramentas projetadas a partir do zero – não por hackers como no caso dos ataques direcionados, mas por grupos de engenheiros muito talentosos e assalariados. APTs também são ataques patrocinados por Estados – o que significa que governos reais estão por trás delas, ao invés de um pequeno grupo de hackers, como é o caso dos ataques direcionados.

As APTs são muito mais graves em escopo e poder de fogo do que os ataques direcionados e só vão atrás de grandes alvos como contratados de defesa e outras agências governamentais. As empresas não precisam se preocupar com elas tanto como devem se preocupar com ataques direcionados, mas é melhor se proteger contra ambos, só para garantir.

Essa é a primeira parte de uma série de artigos sobre ataques direcionados – o assunto será coberto mais detalhadamente em futuros artigos e atualizações.