Os hackers estão encontrando maneiras de driblar as ferramentas de segurança cibernética mais recentes

(Bloomberg) -- À medida que o hacking se torna mais destrutivo e generalizado, um tipo de ferramenta poderosa de empresas como CrowdStrike Holdings Inc. e Microsoft Corp.

Mais lidos da Bloomberg

China toma o Yuan Global em tentativa de repelir um dólar armado

Zelenskiy nega que a Ucrânia tenha enviado drones para atingir Putin e Kremlin

TD e First Horizon encerram fusão de US$ 13 bilhões enquanto reguladores estagnam

A PacWest está avaliando opções estratégicas, incluindo uma possível venda

O drama do banco continua; Apple sobe no final do pregão: fechamento dos mercados

Chamado de software de detecção e resposta de endpoint, ele foi projetado para detectar sinais precoces de atividade maliciosa em laptops, servidores e outros dispositivos – “endpoints” em uma rede de computadores – e bloqueá-los antes que intrusos possam roubar dados ou bloquear as máquinas.

Mas os especialistas dizem que os hackers desenvolveram soluções alternativas para algumas formas da tecnologia, permitindo-lhes passar por cima de produtos que se tornaram o padrão-ouro para proteger sistemas críticos.

Por exemplo, nos últimos dois anos, a Mandiant, que faz parte da divisão Google Cloud da Alphabet Inc., investigou 84 violações em que o EDR ou outro software de segurança de endpoint foi adulterado ou desativado, disse Tyler McLellan, principal analista de ameaças da a empresa.

As descobertas representam a mais recente evolução de um jogo de gato e rato que ocorre há décadas, à medida que os hackers adaptam suas técnicas para superar as mais novas proteções de segurança cibernética, de acordo com Mark Curphey, que ocupou cargos seniores na McAfee e na Microsoft e agora é um especialista em segurança cibernética. empreendedor no Reino Unido.

"Hackear ferramentas de proteção de segurança não é novidade", disse ele, acrescentando que "o prêmio, se for bem-sucedido, é o acesso a todos os sistemas que as utilizam, por definição, sistemas que valem a pena proteger".

Investigadores de várias empresas de segurança cibernética disseram que o número de ataques em que o EDR é desativado ou ignorado é pequeno, mas crescente, e que os hackers estão ficando mais engenhosos para encontrar maneiras de contornar as proteções mais fortes que ele fornece.

A Microsoft divulgou em dezembro em um post de blog que os hackers enganaram a empresa para aplicar seu selo de autenticidade ao malware, que foi usado para desativar o EDR da empresa e outras ferramentas de segurança nas redes das vítimas. A Microsoft suspendeu as contas de desenvolvedores terceirizados envolvidos no estratagema e disse que a empresa está “trabalhando em soluções de longo prazo para lidar com essas práticas enganosas e evitar impactos futuros nos clientes”.

Em fevereiro, a Arctic Wolf Networks detalhou um caso que investigou no final do ano passado, em que hackers do grupo de ransomware Lorenz foram inicialmente bloqueados pelo EDR da vítima. Os hackers se reagruparam e implantaram uma ferramenta forense digital gratuita que lhes permitia acessar a memória dos computadores diretamente e implantar seu ransomware com sucesso, ignorando o EDR, disse a empresa. Arctic Wolf não identificou a vítima ou o EDR afetado.

E em abril, o Sophos Group divulgou um novo malware que a empresa com sede no Reino Unido descobriu que foi usado para desabilitar ferramentas EDR da Microsoft, da própria Sophos e de várias outras empresas antes de implantar o ransomware Lockbit e Medusa Locker. "Ignorar o EDR e desativar o software de segurança é claramente uma tática em ascensão", disse Christopher Budd, gerente sênior de pesquisa de ameaças. “Devido à natureza desse tipo de ataque, é particularmente difícil detectá-lo, pois visa as próprias ferramentas que detectam e previnem ataques cibernéticos”.

O mercado de EDR e outras novas tecnologias de segurança de endpoint cresceu 27%, atingindo US$ 8,6 bilhões globalmente no ano passado, liderado pela CrowdStrike e pela Microsoft, de acordo com a IDC.

Adam Meyers, vice-presidente sênior de inteligência da CrowdStrike, disse que o crescente número de ataques contra o software EDR mostra que os hackers "têm evoluído". Muitos dos ataques que a CrowdStrike rastreou - contra seus produtos e aqueles oferecidos por concorrentes - envolvem configurações incorretas de sistemas clientes ou vulnerabilidades profundas no software ou firmware, sinais de que os hackers estão tendo que trabalhar mais para entrar nas redes de destino, disse ele.