Segundo o relatório Incident Response Analytics da Kaspersky, quase um terço (30%) dos ciberataques investigados em 2019, envolveram ferramentas legítimas de gestão e administração remota, o que dificulta a detecção dos cibercriminosos.
Segundo o relatório, no total, a análise de dados anonimizados de casos de resposta a incidentes (IR) mostrou que 18 ferramentas legítimas foram utilizadas por cibercriminosos para fins maliciosos. A mais utilizada foi a PowerShell, a registar 25% dos casos. Já o PsExec foi aproveitado em 22% dos ataques, seguindo-se o SoftPerfect Network Scanner (14%).
A equipa da Kaspersky Global Emergency Response revela que os hackers aproveitam ferramentas legítimas para atacar a infraestrutura de uma empresa já que o software permite-lhes executar processos em endpoints, aceder e extrair informação sensível, contornando vários controlos de segurança destinados a detectar malware.
Os cibercriminosos podem permanecer indetectáveis durante um longo período de tempo, por exemplo, no ano passado, os ataques contínuos de ciberespionagem e roubo de dados confidenciais tiveram uma duração média de 122 dias.
«Com estas ferramentas, os atacantes podem recolher informações sobre redes empresariais e depois realizar movimentos laterais, alterar configurações de software e hardware ou até mesmo realizar uma acção maliciosa. Por exemplo, podem utilizar software legítimo para encriptar dados de clientes. O software legítimo também pode ajudar os atacantes a permanecerem por baixo do radar dos analistas de segurança, uma vez que muitas vezes só detectam o ataque depois de o dano ter sido feito. Embora não seja possível excluir estas ferramentas por muitas razões, os sistemas de registo e monitorização devidamente implantados podem ajudar a detectar atividade suspeita na rede e ataques complexos em fases iniciais», explica, Konstantin Sapronov, head of global emergency response team da Kaspersky.