A maior parte dos ataques direcionados (91%) começam com um e-mail
malicioso direcionado, também chamado de spear-phishing. É o que mostra
uma pesquisa feita pela empresa de segurança Trend Micro.
E-mails spear-phishing contém anexos maliciosos que exploram uma
vulnerabilidade de Office (CVE-2012-0158) e seu conteúdo incentiva o
destinatário a abri-los.
Essas mensagens são parte de operações de uma ameaça emergente e
ativa chamada Safe - suas campanhas estão documentadas na pesquisa da
Trend Micro.
De uma perspectiva de ameaça, a Trend Micro identificou cinco
principais organizações-alvo, incluindo ministérios governamentais,
empresas de tecnologia, meios de comunicação, instituições de pesquisa
acadêmicas e agências não-governamentais.
As ameaças não são novas e os departamentos de TI já presenciaram
vários tipos de ameaças persistentes avançadas (APTs) ou ataques de
espionagem baseados em malware que existem há anos. Nos últimos anos
temos visto campanhas "ruidosas" dentro da comunidade de segurança, e
agora estão aprendendo a combater as novas e menores campanhas.
A Trend Micro não determinou o número total de vítimas da campanha
mas, aparentemente,cerca de 12 mil endereços IP exclusivos distribuídos
em mais de 100 países estavam conectados a dois conjuntos de
infraestruturas de comando e controle (C&C) relacionadas a esta
ameaça e o número médio de vítimas real foi de 71 por dia.
Estratégia de defesa
Como esta ameaça identificada pela Trend Micro tem o potencial de afetar as pessoas em todo o mundo, as empresas devem se concentrar na detecção e mitigação de ataques e impulsionar componentes do núcleo de uma estratégia de defesa, tal como apresentado pelo relatório.
Como esta ameaça identificada pela Trend Micro tem o potencial de afetar as pessoas em todo o mundo, as empresas devem se concentrar na detecção e mitigação de ataques e impulsionar componentes do núcleo de uma estratégia de defesa, tal como apresentado pelo relatório.
As empresas podem usar os logs de endpoint, servidor e monitoramento
de rede para obter uma visão das atividades dentro de uma organização.
Esta informação pode ser processada para comportamentos anômalos e,
eventualmente, indicar um ataque direcionado.
As verificações de integridade devem ser realizadas, a medida que
malwares modificarão o sistema de arquivos e registro, a fim de manter a
persistência.
As empresas devem também capacitar os analistas humanos e alavancar
as tecnologias disponíveis hoje para ganhar visibilidade, percepção e
controle sobre as redes afim de se defenderem contra ameaças
específicas.
Uma vez que um ataque é identificado, a estratégia de limpeza deve se
concentrar em determinar o vetor de ataque e cortar as comunicações com
o servidor de comando e controle.
O departamento de TI deve, então, determinar o alcance do
comprometimento e avaliar os danos por meio da análise dos dados e
artefatos forenses disponíveis em máquinas comprometidas.
Fonte: Idgnow
Fonte: Idgnow
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.