Oferecido por
Um exploit de Dia Zero, uma forma de ataque cibernético usando uma vulnerabilidade anteriormente desconhecida, é praticamente a coisa mais valiosa que um hacker pode possuir. Esses exploits podem custar mais de US$ 1 milhão no mercado.
E este ano, os defensores da segurança cibernética descobriram o maior número de todos os tempos, de acordo com vários bancos de dados, pesquisadores e empresas de segurança cibernética que falaram com a MIT Technology Review americana. Pelo menos 66 Dias Zero foram encontrados em uso este ano, de acordo com bancos de dados como o projeto de rastreamento de Dia Zero, quase o dobro do total de 2020, e mais do que em qualquer outro ano já registrado.
[Ataques de Dia Zero detectados
Gráfico: Patrick Howell O’Neill Fonte: Projeto de rastreamento de Dia Zero. Obtenha os dados criados com o Datawrapper]
Mas, embora o número recorde chame a atenção, pode ser difícil saber o que ele nos diz. Isso significa que há mais exploits dias zero sendo usados do que nunca? Ou será que os defensores dedicados a capturar hackers melhoraram suas capacidades?
“O que estamos vendo é um claro aumento”, disse Eric Doerr, vice-presidente de segurança em nuvem da Microsoft. “A pergunta em questão é: o que isso significa? O céu está caindo? Eu estou mais inclinado a pensar que ‘Bem, existem alguns sinais, que podem ser indicativos de algo bom ou não.’”
Os hackers estão “operando a todo vapor”
Um fator que contribui para a taxa mais alta de exploits Dias Zero relatados é a rápida proliferação global de ferramentas de hacking.
Muitos grupos poderosos estão investindo rios de dinheiro em Dias Zero para usar, e estão colhendo os frutos.
No topo da cadeia alimentar estão os hackers patrocinados pelo governo. Só a China é suspeita de ser responsável por nove Dias Zero neste ano, diz Jared Semrau, diretor de exploração de vulnerabilidade da empresa americana de segurança cibernética FireEye Mandiant. Os Estados Unidos e seus aliados claramente possuem alguns dos recursos de hacking mais sofisticados, e fala-se cada vez mais sobre o uso dessas ferramentas de forma mais agressiva.
“Temos esse nível superior de agentes sofisticados de espionagem que estão, sem dúvida, operando a toda velocidade de uma maneira que não vimos nos anos anteriores”, diz Semrau.
Poucos que desejam usar Dias Zero têm as capacidades de Pequim (China) e Washington (EUA). A maioria dos países que buscam exploits poderosos não tem o talento ou a infraestrutura para desenvolvê-los internamente e, portanto, precisam comprá-los.
É mais fácil do que nunca comprar Dias Zero da crescente indústria de exploit. O que antes era proibitivamente caro e sofisticado agora está mais acessível.
“Vimos esses grupos estaduais recorrerem ao NSO Group ou ao Candiru, serviços que cada vez mais se tornam conhecidos e que permitem aos países trocar recursos econômicos por capacidade ofensiva”, diz Semrau. Os Emirados Árabes Unidos, os Estados Unidos e as potências europeias e asiáticas investiram dinheiro na indústria de exploit.
E os cibercriminosos também têm usado ataques de Dia Zero para ganhar dinheiro nos últimos anos, encontrando falhas em softwares que lhes permitem executar valiosos esquemas de ransomware.
“Os agentes motivados por dinheiro estão mais sofisticados do que nunca”, diz Semrau. “Um terço dos Dias Zero que rastreamos recentemente podem ser atribuídos a atores motivados por dinheiro. Então, eles estão desempenhando um papel significativo neste aumento, pelo qual não acho que muitas pessoas estão dando crédito”.
Cibersegurança cada vez melhor
Embora possa haver um número crescente de pessoas desenvolvendo ou comprando Dias Zero, o número recorde relatado não é necessariamente ruim. Na verdade, alguns especialistas dizem que podem ser boas notícias.
Ninguém com quem falamos acredita que o número total de ataques de Dia Zero mais do que dobrou em um período tão curto de tempo, mas sim o número que foi detectado. Isso sugere que os defensores estão se tornando melhores em pegar hackers em flagrante.
Você pode olhar os dados, como a planilha de Dia Zero do Google, que rastreia quase uma década de ataques cibernéticos detectados.
Uma mudança que essa tendência pode refletir é que mais dinheiro está disponível para defesa, não somente em relação a recompensas e incentivos para detecção de falhas maiores, oferecidos por empresas de tecnologia que trabalham em busca de novas vulnerabilidades de Dia Zero. Mas também existem ferramentas melhores.
Agora, os defensores conseguem, além de detectar ataques relativamente simples, identificar hacks mais complexos, diz Mark Dowd, fundador da Azimuth Security. “Acho que isso denota uma melhoria ascendente na capacidade de detectar ataques mais sofisticados”, diz ele.
Grupos como o Threat Analysis Group (TAG) do Google, a Global Research & Analysis Team (GReAT) da Kaspersky e o Threat Intelligence Center (MSTIC) da Microsoft têm uma enorme quantidade de especialistas em seus times, recursos e dados, tantos, na verdade, que rivalizam com a capacidade das agências de inteligência de detectar e rastrear hackers adversários.
Empresas como Microsoft e CrowdStrike estão entre as que realizam esforços de detecção em grande escala. Enquanto ferramentas antigas, como software antivírus, significavam menos atenção a atividades estranhas, hoje uma grande empresa pode detectar uma pequena anomalia em milhões de máquinas e rastreá-la até o ataque de Dia Zero que foi usado para acesso.
“Parte da razão de estarmos vendo mais ataques de Dia Zero é porque estamos os encontrando mais”, diz Doerr, da Microsoft. “Estamos melhores em detectar esses ataques. Agora você pode aprender com o que está acontecendo ao olhar os casos de todos os clientes alvos de alguma tentativa de ataque, o que nos ajuda a ficar mais inteligentes com mais rapidez. Em uma situação ruim em que vemos algo novo, isso afetará um cliente ao invés de 10.000”.
No entanto, a realidade é muito mais complicada do que a teoria. No início deste ano, vários grupos de hackers lançaram ataques contra os servidores de e-mail Microsoft Exchange. O que começou como um ataque crítico de Dia Zero piorou depois que uma solução foi desenvolvida, mas não a tempo de ser disponibilizada aos usuários. Essa lacuna é um ponto fraco que os hackers adoram atacar.
No entanto, como regra geral, Doerr está certo.
Os exploits estão ficando mais difíceis e mais valiosos
Mesmo que o Dia Zero esteja sendo detectado mais do que nunca, há um fato com o qual todos os especialistas concordam: sua execução é cada vez mais difícil e cara.
Melhores defesas e sistemas mais complicados significam que os hackers precisam se empenhar mais para invadir um alvo do que há uma década, uma vez que os ataques são mais caros e requerem mais recursos. A recompensa, no entanto, é que, com tantas empresas operando na nuvem, uma vulnerabilidade pode afetar milhões de clientes.
“Dez anos atrás, quando tudo era mais local, muitos dos ataques afetariam apenas uma empresa”, diz Doerr, “e poucas empresas estavam preparadas para entender o que estava acontecendo”.
Ao encarar a melhoria das defesas, os hackers geralmente precisam vincular vários exploits em vez de usar apenas um. Essas “cadeias de exploit” requerem mais Dias Zero. O sucesso em detectar essas cadeias também é parte da razão para o aumento acentuado do número de ataques registrados
Hoje, diz Dowd, os hackers estão “tendo que investir mais e arriscar mais ao usarem essas cadeias para atingir seus objetivos”.
Um sinal importante vem do custo crescente dos exploits mais valiosos. Os dados limitados disponíveis, como os preços públicos de Dia Zero do Zerodium, mostram um aumento de até 1.150% no custo dos ataques cibernéticos mais sofisticados nos últimos três anos.
Mas, mesmo que os ataques de Dia Zero sejam mais difíceis, a demanda aumentou e a oferta seguiu essa tendência. O céu pode não estar caindo, mas também não é um dia perfeitamente ensolarado.