Por Derek Manky – Estrategista Global de Segurança da Fortinet

Desde a chegada das ameaças avançadas, a tecnologia de ocultação existiu para auxiliar os criminosos a evadir as detecções de segurança e a não deixar rastros. A evolução desse tipo de tecnologia é um processo contínuo e um forte aliado dos criminosos.

Isso realmente se iniciou anos atrás com a evasão às soluções de antivírus. Hoje, a Fortinet por exemplo registra uma média de 500.000 amostras de vírus no FortiGuard Labs todos os dias. Muitos são da mesma família de vírus, mas são polimórficos, o que significa que eles utilizam pacotes binários para modificar a natureza do código a cada par de segundos, tentando passar a detecção dos antivírus.

Os atacantes evoluíram para adotar ténicas semelhantes de evasão e ocultação em outros vetores de ataque. Por exemplo: com websites, a tecnologia de web filtering protege os usuários ao bloquear o acesso a sites maliciosos que podem hospedar vírus. Há cerca de uma década atrás, os cibercriminosos começaram a utilizar redes de fluxo rápido para modificar o endereço IP e os domínios rapidamente. Em alguns casos, apenas uma ameaça pode utilizar mais de 50.000 websites em apenas um dia, para disfarçar a verdadeira origem.

Novidades como a rede Tor introduzem táticas ainda mais sofisticadas a partir da deep web. Tor, que significa The Onion Router, foi desenvolvido para permitir o envio e recebimento anônimo de tráfego web. Os usuários não apenas possuem a habilidade de permanecer não-identificados como podem acessar conteúdo que é bloqueado para eles. O Tor consegue isso ao encriptar de forma customizada o tráfego e enviá-lo por meio de uma rede de relays. Cada relay individual acrescenta sua própria camada de encriptação para auxiliar a apagar os traços e ofuscar a identidade do usuário.

Essas novas tecnologias de ocultação e evasão utilzadas pelos criminosos utilizam a deep web para aumentar ainda mais seu poder de atuação. Quando por exemplo a justiça ou a polícia tentam atribuir a origem de um ataque, os criminosos podem continuamente criar novos protocolos de comunicação e esquemas de encriptação para permanecerem ocultos. Isso abre canais para toda sorte de potenciais atividades ilegais, como: venda de produtos proibidos, tráfico de drogas, pornografia infantil e até mesmo espionagem.

O mais importante que a indústria de segurança pode fazer para combater esse tipo de ameaça é trabalhar em conjunto. Incluindo profissionais de resposta a incidentes, profissionais de segurança, fabricantes e agentes da lei. Pelo fato de os aspectos técnicos do cibercrime não serem uma força das polícias, os pesquisadores e profissionais devem compartilhar suas experiências com o setor público, de forma a perseguir e fechar essas operações criminosas.

Quando o Conficker surgiu em 2008, ele utilizava um algorítimo de geração de domínios (DGA) para produzir mais de 50.000 websites diferentes para tentar se conectar em um único dia. Os criminosos escolhiam um dentre os 50.000 para realizar uma comunicação ativa. Para qualquer um fora do grupo de criminosos, encontrar esse website específico é como encontrar uma agulha em um palheiro. Então a indústria, agências públicas e fabricantes, criaram em conjunto o Conficker Working Group, para bloquear de forma proativa todos esses novos domínios que a ameaça estava gerando e proteger os usuários. As tentativas ajudaram a criar tempo para as pessoas aplicarem o patch MS08-067, ao mesmo tempo em que permitiram ao working group encontrar o rastro das infecções.

Hoje, a Fortinet está contribuindo com grupos como a Cyber Threat Alliance (CTA). Quando a CTA lançou o relatório CryptoWall Version 3 em outubro de 2015, mostrou evidências de que aproximadamente U$325 milhões foram roubados pelo ransomware. Assim que o relatório foi publicado, os criminosos  por trás do CryptoWall sumiram e mudaram de tática. O poder da pesquisa colaborativa e troca de informações se mostrou uma força disruptiva contra esses ataques.

Ao mesmo tempo em que esperamos que os criminosos continuem a encontrar e criar novas tecnologias para ocultar suas atividades ilegais e evadir a identificação, a indústria provou a habilidade para lutar de volta contra essas ameaças, por meio de cooperação e compartilhamento. Colocar mais recursos nessas alianças faz ainda mais sentido, já que os hackers não vão ficar parados e vão desenvolver novas formas de explorar os usuários. Eles estão ficando mais espertos e estão se escondendo com mais cuidado, sabem que podem ser identificados. Contudo, pela primeira vez, podemos ver que essas organizações criminosas estão com medo.

Você pode ler o artigo em inglês aqui.