Cuidado! Os Ataques Cibernéticos Iranianos Ameaçam Infraestrutura Crítica numa Campanha Global em Andamento

Traduzir Para:

No mundo em constante evolução das ameaças cibernéticas, uma das tendências mais alarmantes é o aumento de ataques cibernéticos patrocinados pelo estado visando infraestrutura crítica. Avisos conjuntos recentes de agências de segurança cibernética e inteligência nos EUA, Austrália e Canadá revelam uma campanha contínua de um ano por atores cibernéticos iranianos visando setores-chave como saúde, energia, governo e tecnologia da informação.

Índice

Os Métodos por Trás dos Ataques Cibernéticos Iranianos

Desde outubro de 2023, os ciberatores iranianos empregam ataques de força bruta e pulverização de senhas para se infiltrar em organizações. Essas táticas envolvem adivinhar senhas sistematicamente e sobrecarregar sistemas de login para obter acesso não autorizado a contas de usuários. Setores como saúde, engenharia e serviços governamentais são os principais alvos, dada sua sensibilidade e importância.

Uma tática emergente usada por esses invasores é o push bombing de autenticação multifator (MFA), também conhecido como fadiga de MFA. Ao inundar os usuários com solicitações repetidas de MFA, os invasores esperam irritar ou confundir as vítimas para que aprovem o acesso involuntariamente. Ray Carney, especialista em segurança cibernética da Tenable, sugere usar MFA resistente a phishing ou empregar correspondência de números para um processo de autenticação mais seguro.

O objetivo principal desses ataques é roubar credenciais e informações detalhadas da rede, que são então vendidas em fóruns clandestinos. Isso cria oportunidades para outros criminosos cibernéticos explorarem sistemas comprometidos para ataques futuros, alinhando-se com o cenário mais amplo de segurança cibernética de colaboração entre grupos patrocinados pelo estado e o crime cibernético organizado.

Técnicas de Ataque Avançadas

Após o acesso inicial, os invasores iranianos normalmente realizam um reconhecimento completo dos sistemas do alvo. Eles usam ferramentas "living-off-the-land" (LotL), que utilizam a própria infraestrutura da organização para permanecerem indetectáveis. Explorações de escalonamento de privilégios, como a conhecida vulnerabilidade Zerologon (CVE-2020-1472), ajudam os invasores a se aprofundarem nos sistemas.

Em muitos casos, os invasores aproveitam protocolos de desktop remoto (RDP) e ferramentas como Cobalt Strike para estabelecer conexões de comando e controle (C2). Notavelmente, eles às vezes registram seus próprios dispositivos com sistemas MFA, permitindo que eles mantenham acesso persistente por longos períodos sem levantar suspeitas.

Visando o Active Directory e Além

Os ciberatores iranianos estão cada vez mais se concentrando em comprometer o Active Directory, a espinha dorsal de muitos ambientes de TI corporativos. O Active Directory desempenha um papel crucial no gerenciamento de autenticação e permissões de usuários em redes. O comprometimento desse sistema permite que os invasores aumentem os privilégios, dando a eles acesso a informações altamente confidenciais e controle sobre sistemas críticos.

Mudanças recentes no cenário de ameaças globais também apontam para uma tendência de colaboração entre grupos de hackers de estados-nação e organizações cibercriminosas. O Relatório de Defesa Digital de 2024 da Microsoft destaca que os invasores patrocinados pelo estado iraniano não estão apenas conduzindo operações por razões geopolíticas, mas também são motivados por ganhos financeiros. Ao terceirizar partes de suas operações para cibercriminosos, eles estendem seu alcance enquanto mantêm um perfil mais baixo.

O Que as Organizações podem Fazer

Para mitigar esses riscos, as organizações em setores-alvo devem tomar medidas proativas:

Implemente MFA resistente a phishing sempre que possível. Se não for viável, use correspondência de números como uma opção de autenticação secundária.
Audite e corrija vulnerabilidades regularmente, principalmente no Active Directory e outros sistemas críticos.
Treine os funcionários para reconhecer os sinais de fadiga do MFA e incentive-os a relatar tentativas suspeitas de login.
Monitore o tráfego de rede em busca de atividades incomuns, especialmente conexões de saída para infraestrutura C2 conhecida.
Colabore com agências governamentais e colegas do setor para se manter informado sobre as últimas ameaças e melhores práticas de defesa.

O Caminho pela Frente

À medida que os ataques cibernéticos se tornam mais sofisticados e interligados com objetivos geopolíticos globais, as empresas devem estar vigilantes. A campanha de um ano de duração dos atores cibernéticos iranianos serve como um lembrete claro de que mesmo os sistemas de segurança mais robustos podem ser comprometidos sem defesas adequadas em vigor.

Ficar à frente dessas ameaças requer adaptação constante, colaboração e um comprometimento com as melhores práticas de segurança cibernética. Embora nenhum sistema seja impenetrável, organizações informadas e preparadas têm uma chance muito maior de resistir à crescente onda de ataques cibernéticos.

O SpyHunter para Windows da EnigmaSoft obteve a certificação AV-TEST

Buscar

Mudar de região