Já passaram quase 30 anos desde que o filme "Hackers" foi lançado e muitos de nós, quando pensamos num ciberatacante, ainda imaginamos um tipo com um capuz, pendurado na sua cave enquanto utiliza um teclado para ganhar notoriedade. No entanto, muita coisa mudou nas últimas três décadas e o retrato de um atacante do Active Directory evoluiu muito. Sim, é provável que alguns ciberatacantes ainda usem capuzes e realizem ataques a partir da sua cave, mas hoje em dia é mais provável que o façam a partir de algures no outro lado do mundo. Na Hybrid Identity Protection Conference, Allen Brokken partilhou estatísticas preocupantes sobre ciberataques, bem como sobre os vários perfis e intenções dos hackers modernos. Aqui estão as cinco categorias diferentes de atacantes do Active Directory que Brokken partilhou durante a sua apresentação, "Detectar e responder a violações do Active Directory".
5 tipos diferentes de ciberataques
O Hacktivista: O hacktivista do século XXI é muito semelhante ao que se viu em "Hackers", só que a tecnologia é muito mais avançada e o hacking é muito real. Os hacktivistas são normalmente motivados por uma causa maior ou por uma agenda política, e sentem que o seu alvo merece o ataque. Esta categoria de atacantes do Active Directory pode ser altamente sofisticada na sua abordagem e, muitas vezes, trabalha em conjunto, como um conjunto de partidos com interesses comuns, em vez de uma verdadeira organização. A WikiLeaks e os Anonymous são organizações de hacktivismo bem conhecidas que divulgaram informações sensíveis para promover uma causa.
Estados-nação: A China, a Rússia e a Coreia do Norte são países que possuem capacidades de ciberataque e que, em última análise, procuram controlar algum aspecto do domínio geopolítico. Quer se trate de roubo de propriedade intelectual militar ou de espionagem empresarial, os atacantes de Estados-nação dispõem de recursos significativos e de capacidade organizacional para efectuar grandes ataques. Há apenas alguns meses, a Rússia levou a cabo um ataque ao Active Directory que perturbou a cerimónia de abertura dos Jogos Olímpicos de Inverno. O malware wiper foi capaz de analisar o Active Directory para determinar quais os sistemas a visar e derrubar o sítio Web dos Jogos de Inverno durante 12 horas.
Organizações terroristas modernas: Relatórios recentes revelam que o ciberterrorismo é uma preocupação crescente e será a principal ameaça à infosegurança nos próximos anos. O ISIS e outras organizações terroristas estão a tirar partido das capacidades de ciberataque para ajudar a financiar as suas batalhas e a promover a sua causa, que acreditam ser justificada por um objectivo superior. Nalguns casos, o Estado-nação e as organizações de ciberterrorismo associam-se para perpetrar ataques contra nações maiores e mais sofisticadas. Estes ciberatacantes podem funcionar de forma semelhante a outros actores, mas as suas motivações são mais para a causa do que para qualquer ganho monetário directo.
Cibercrime organizado: O cibercrime organizado é uma coisa muito real e é o equivalente actual da máfia. A Dark Web fornece todos os serviços e armas cibernéticas de que as redes de cibercrime organizado necessitam para levar a cabo os seus ataques - existe mesmo o crime como serviço, em que é oferecido dinheiro aos grupos de cibercrime em troca da realização de ataques. Estes atacantes estão geralmente interessados no dinheiro e investirão num ataque complexo ao longo do tempo se virem o valor potencial do mesmo. Hoje em dia, os bandos de cibercriminosos têm estruturas organizacionais sofisticadas, tal como qualquer outra empresa. Em muitos locais do mundo, atacar outros por via electrónica é, na verdade, um trabalho legítimo a tempo inteiro.
Concorrentes sem ética: Nos Estados Unidos, existem leis fortes e uma ética geral que impedem as empresas de se atacarem directamente por via electrónica para obterem vantagens competitivas. No entanto, esta norma ética não é necessariamente partilhada em todo o mundo. Em muitos países, qualquer forma de obter vantagens é considerada um bom negócio. Quando uma organização tem esta atitude, está disposta a desenvolver capacidades de ataque para ganhar. Há casos de empresas que atacam os sistemas de fixação de preços dos seus concorrentes e fazem automaticamente ofertas inferiores às dos seus alvos, intencionalmente para os forçar a sair do mercado. Mais recentemente, os atacantes utilizaram o malware MBR-ONI para encriptar servidores Active Directory em várias empresas japonesas e paralisar os negócios.
Actualmente, os atacantes do Active Directory existem em todas as formas, tamanhos e estruturas organizacionais, mas a verdadeira moral da história é que estes atacantes estão a evoluir e a crescer em termos de ameaça e níveis de sofisticação. Para proteger o ambiente da sua empresa, tem de se certificar de que o seu plano de recuperação de desastres lhe permite recuperar rapidamente de qualquer tipo de ataque de malware.
Para ver a apresentação completa de Allen Brokken sobre ataques ao Active Directory e outras apresentações da Conferência de Protecção da Identidade Híbrida de 2017, clique aqui.