Como se proteger das APT para evitar incidentes como o do Microsoft Exchange
As APT (Advanced Persistent Threat) têm consequências mais graves do que os ciberataques convencionais. A explicação para isto reside, por um lado, no facto de os perpetradores dispensaram muito mais tempo e esforços (frequentemente promovidos por organizações governamentais); e, por outro lado, as vítimas serem de um nível mais elevado. A Casa Branca, a União Europeia e a NATO já acusaram abertamente o governo chinês de estar por trás de diversos ciberataques com estas características, em particular a ameaça que visou a Microsoft Exchange no passado mês de janeiro.
Neste ataque massivo, estima-se que tenham sido comprometidos mais de 250 000 servidores Exchange e que os cibercriminosos tiveram acesso a cerca de 30 000 organizações só nos EUA. O incidente, que afetou o serviço da Microsoft, explora vulnerabilidades idênticas à ProxyLogon. Esta vulnerabilidade permite que o hacker entre num sistema como administrador e aceda aos emails a partir daí. Neste caso, o dedo foi apontado ao Hafnium, um grupo hacker financiado pelas autoridades chinesas.
O perigo das APT
Neste incidente, os hackers exploraram vulnerabilidades ‘zero day’ no Exchange, mas, mais importante que isso, evidenciaram o perigo dos ataques APT, que, dado o esforço necessário, são frequentemente patrocinados por organizações governamentais.
No caso do ataque ao Exchange, a Casa Branca foi rápida ao afirmar que esta ação tinha sido financiada e promovida pelo governo chinês. “O Ministério de Segurança da RPC contrata, rotineiramente, hackers para realizar ações globais que ficam impunes”, afirmou o governo norte-americano numa declaração oficial. O governo de Biden não é o único a apontar o dedo à China, a União Europeia acusou igualmente a RPC, exortando à toma de medidas imediatas para refrear esta atividade ciber-criminosa.
Como é que as organizações se podem proteger contra este tipo de ameaças?
Os MSP devem ter em atenção que este tipo de ciber-atividade maliciosa também pode visar organizações e empresas privadas, pelo que é essencial que adotem medidas de proteção para os seus clientes.
A proteção proativa para endpoints no caso de um ataque desta natureza é crítica. Detetar e neutralizar a ameaça antes que seja demasiado tarde é crucial e é possível graças a soluções exclusivas como a WatchGuard APT Blocker. Esta solução utiliza uma caixa de areia isolada na cloud, que, simulando o comportamento de hardware físico, analisa todos os tipos de executáveis e documentos, para que um ataque de ransomware ou ameaças ‘zero day’ possam ser neutralizadas sem risco.
A proteção contra ameaças APT é complementada por soluções como a WatchGuard EPDR, que proporciona proteção de endpoint contra os ciberataques de próxima geração. Esta solução de cibersegurança abrangente emprega uma estratégia zero-trust e integra o Threat Hunting Service, minimizando a probabilidade de um ciberataque bem sucedido. Ao adotar esta abordagem zero-trust, qualquer aplicação ou binário é analisado sistematicamente, diminuindo a probabilidade de os hackers prosperarem. Isto, complementado com o Threat Hunting Service, que se baseia num conjunto de regras de procura de ameaças criado por especialistas na área, permite que a solução de cibersegurança analise padrões de comportamentos anómalos para que os clientes possam reduzir os tempos de resposta e criarem novas regras que possam ser distribuídas entre os endpoints para os proteger.