Os cibercriminosos estão transformando ferramentas de segurança em um meio de ataque
Em uma estranha virada de eventos, ferramentas populares de teste de penetração foram encontradas como sendo as mais usadas por invasores. Os pesquisadores de segurança cibernética do Insikt Group da Recorded Future encontraram o Cobalt Strike e o Metasploit como a opção mais popular para hospedar servidores de comando e controle (C&C) de malware.
Os pesquisadores coletaram mais de 10.000 servidores C&C exclusivos em pelo menos 80 famílias de malware até 2020.
“As famílias mais comumente observadas foram dominadas por ferramentas de código aberto ou disponíveis comercialmente”, escreveram os pesquisadores.
Lado errado da cerca
Ferramentas de teste de penetração, também conhecidas como ferramentas de segurança ofensivas e ferramentas de equipe vermelha, também encontraram seu caminho nos kits de ferramentas dos invasores nos últimos anos, concluiu o relatório.
Enquanto Cobalt Strike respondia por 1.441 dos servidores C&C, Metasploit seguia de perto com 1.122. Juntos, os dois foram encontrados em 25% do total de servidores C&C. Além disso, o grupo também notou a adoção de ferramentas de código aberto menos conhecidas, como Octopus C2, Mythic e Covenant.
Descrevendo as razões de sua popularidade, os pesquisadores observam que essas ferramentas têm interfaces gráficas com o usuário e são totalmente documentadas, o que as torna mais fáceis de usar, mesmo por invasores relativamente inexperientes.
Dito isso, vários dos grupos que abusaram dessas ferramentas eram malfeitores patrocinados pelo Estado, de acordo com os pesquisadores, e estavam envolvidos em operações de espionagem.
“No próximo ano, a Recorded Future espera uma maior adoção de ferramentas de código aberto que recentemente ganharam popularidade, especificamente Covenant, Octopus C2, Sliver e Mythic”, escrevem os pesquisadores.
O relatório do pesquisador também contém várias outras descobertas interessantes. Por exemplo, os quatro principais provedores de hospedagem com o maior número de servidores C&C em sua infraestrutura, ou seja, Amazon, Digital Ocean, Choopa e Zenlayer, estavam todos baseados nos EUA
Através da: ZDNet