pasd

pasdA maior parte dos ataques direcionados (91%) começam com um e-mail malicioso direcionado, também chamado de spear-phishing. É o que mostra uma pesquisa feita pela empresa de segurança Trend Micro.

E-mails spear-phishing contém anexos maliciosos que exploram uma vulnerabilidade de Office (CVE-2012-0158) e seu conteúdo incentiva o destinatário a abri-los.

Essas mensagens são parte de operações de uma ameaça emergente e ativa chamada Safe – suas campanhas estão documentadas na pesquisa da Trend Micro.

De uma perspectiva de ameaça, a Trend Micro identificou cinco principais organizações-alvo, incluindo ministérios governamentais, empresas de tecnologia, meios de comunicação, instituições de pesquisa acadêmicas e agências não-governamentais.

As ameaças não são novas e os departamentos de TI já presenciaram vários tipos de ameaças persistentes avançadas (APTs) ou ataques de espionagem baseados em malware que existem há anos. Nos últimos anos temos visto campanhas “ruidosas” dentro da comunidade de segurança, e agora estão aprendendo a combater as novas e menores campanhas.

A Trend Micro não determinou o número total de vítimas da campanha mas, aparentemente,cerca de 12 mil endereços IP exclusivos distribuídos em mais de 100 países  estavam conectados a dois conjuntos de infraestruturas de comando e controle (C&C) relacionadas a esta ameaça e o número médio de vítimas real foi de 71 por dia.

Estratégia de defesa
Como esta ameaça identificada pela Trend Micro tem o potencial de afetar as pessoas em todo o mundo, as empresas devem se concentrar na detecção e mitigação de ataques e impulsionar componentes do núcleo de uma estratégia de defesa, tal como apresentado pelo relatório.

As empresas podem usar os logs de endpoint, servidor e monitoramento de rede para obter uma visão das atividades dentro de uma organização. Esta informação pode ser processada para comportamentos anômalos e, eventualmente, indicar um ataque direcionado.

As verificações de integridade devem ser realizadas, a medida que malwares modificarão o sistema de arquivos e registro, a fim de manter a persistência.

As empresas devem também capacitar os analistas humanos e alavancar as tecnologias disponíveis hoje para ganhar visibilidade, percepção e controle sobre as redes afim de se defenderem contra ameaças específicas.

Uma vez que um ataque é identificado, a estratégia de limpeza deve se concentrar em determinar o vetor de ataque e cortar as comunicações com o servidor de comando e controle.

O departamento de TI deve, então, determinar o alcance do comprometimento e avaliar os danos por meio da análise dos dados e artefatos forenses disponíveis em máquinas comprometidas.

Fonte: www.idgnow.uol.com.br