Agência de notícias
Publicado em 28 de abril de 2023 às 12h18.
À medida que os ataques de hackers se tornaram mais destrutivos e generalizados, uma poderosa ferramenta de empresas como CrowdStrike Holdings e Microsoft tornou-se uma aliada do setor de segurança cibernética.
Chamada de software de “detecção e resposta de endpoint” (EDR, na sigla em inglês), a tecnologia foi desenvolvida para detectar sinais precoces de atividade maliciosa em laptops, servidores e outros dispositivos — “endpoints”, em uma rede de computadores — e bloqueá-los antes que intrusos possam roubar dados ou travar as máquinas.
Mas especialistas dizem que os hackers desenvolveram soluções alternativas para algumas formas da tecnologia, permitindo-lhes se esquivar de produtos que se tornaram o padrão de ouro para proteger sistemas críticos.
Nos últimos dois anos, por exemplo, a Mandiant, que faz parte da divisão Google Cloud da Alphabet, investigou 84 violações em que o EDR ou outro software de segurança de endpoint foi adulterado ou desativado, disse Tyler McLellan, principal analista de ameaças da empresa.
As descobertas representam a mais recente evolução de um jogo de gato e rato de décadas, já que hackers adaptam suas técnicas para contornar as mais novas proteções de segurança cibernética, de acordo com Mark Curphey, que ocupou cargos seniores na McAfee e na Microsoft e agora é empreendedor de cibersegurança no Reino Unido.
“Hackear ferramentas de proteção de segurança não é novidade”, disse, acrescentando que “o prêmio, se for bem-sucedido, é o acesso a todos os sistemas que as utilizam, por definição, sistemas que valem a pena proteger”.
Investigadores de várias empresas de segurança cibernética disseram que o número de ataques em que o EDR é desativado ou ignorado é pequeno, mas crescente, e que hackers descobrem maneiras cada vez mais engenhosas para contornar proteções mais fortes fornecidas pela ferramenta.
A Microsoft divulgou em dezembro em um blog que hackers enganaram a empresa ao aplicar seu selo de autenticidade ao malware, que foi usado para desativar o EDR da companhia e outras ferramentas de segurança nas redes das vítimas.
A Microsoft suspendeu as contas de desenvolvedores terceirizados envolvidos no ataque e disse que a empresa está “trabalhando em soluções de longo prazo para lidar com essas práticas enganosas e evitar impactos futuros nos clientes”.
Em fevereiro, a Arctic Wolf Networks detalhou um caso investigado no final do ano passado, em que hackers do grupo de ransomware Lorenz foram inicialmente bloqueados pelo EDR da vítima.
Os hackers se reagruparam e implantaram uma ferramenta forense digital gratuita que lhes permitia acessar a memória dos computadores diretamente e implantar seu ransomware com sucesso, ignorando o EDR, disse a empresa. Arctic Wolf não identificou a vítima ou o EDR afetado.
E em abril, a Sophos divulgou um novo malware que a empresa do Reino Unido descobriu ter sido usado para desabilitar ferramentas EDR da Microsoft, da própria Sophos e de várias outras companhias antes de implantar o ransomware Lockbit e Medusa Locker.
“Ignorar o EDR e desabilitar o software de segurança é claramente uma tática em ascensão”, disse Christopher Budd, gerente sênior de pesquisa de ameaças. “Devido à natureza desse tipo de ataque, é particularmente difícil detectá-lo, pois visa as próprias ferramentas que detectam e previnem ataques cibernéticos.”
O mercado de EDR e outras novas tecnologias de segurança de endpoint cresceu 27%, atingindo US$ 8,6 bilhões globalmente no ano passado, liderado pela CrowdStrike e pela Microsoft, de acordo com o IDC.
Adam Meyers, vice-presidente sênior de inteligência da CrowdStrike, disse que o crescente número de ataques contra o software EDR mostra que os hackers “têm evoluído”. Muitos dos ataques rastreados pela CrowdStrike — contra seus produtos e aqueles oferecidos por concorrentes — envolvem configurações incorretas de sistemas clientes ou vulnerabilidades profundas no software ou firmware, sinais de que os hackers agora precisam trabalhar mais para entrar nas redes de destino, explicou.
“Estamos tentando ir cada vez mais fundo e cada vez mais perto do hardware, e quanto mais perto você chega do hardware, mais difícil é parar um ataque”, disse Meyers.
Um representante da Microsoft não quis comentar.