Quanto tempo os atacantes de APT normalmente permanecem dentro de um sistema?

Atacantes de APT podem permanecer dentro de um sistema por semanas ou até anos. O objetivo deles é ficar despercebidos pelo maior tempo possível para continuar coletando dados e observando como a organização opera.

Grupos APT estão ligados a países específicos?

Muitos grupos APT são acreditados como ligados ou apoiados por certos Estados-nação, enquanto outros são grupos criminosos que podem atuar além de fronteiras. Relatórios públicos frequentemente usam nomes de código em vez de citar países diretamente.

Como atacantes APT escolhem suas vítimas?

Eles geralmente escolhem alvos que detêm dados valiosos ou têm acesso a sistemas importantes. É mais comum ver agências governamentais e grandes empresas como alvo do que indivíduos sem ligação. Às vezes organizações menores são atacadas primeiro porque oferecem um caminho para entrar em uma rede maior.

O que são APTs (ameaças persistentes avançadas)?

Q: Por que ataques APT são tão difíceis de detectar?

Ataques desse tipo são difíceis de detectar porque usam táticas furtivas, como ferramentas personalizadas e atividades que parecem normais no sistema. Eles inserem as ações maliciosas no tráfego de rede cotidiano.

Figura de hacker encapuzado usando um laptop ao lado de um globo digital com o texto “Ameaça Persistente Avançada (APT)”, representando ataques cibernéticos de longo prazo e riscos à segurança de redes globais.

APTs são ataques direcionados em que os invasores adentram uma rede e permanecem ocultos por longos períodos.

Os invasores usam uma variedade de ferramentas técnicas para estudar o ambiente-alvo, obtendo acesso de forma discreta e, então, indo atrás dos dados de que precisam. O que os diferencia de outros ataques direcionados é o nível de profissionalismo e o nível de foco envolvidos.

O que você precisa saber:

A furtividade é uma característica definidora de ataques cibernéticos direcionados e, em especial, das ameaças persistentes avançadas. Os grupos APT combinam malwares personalizados, ferramentas legítimas e envolvimento direto de humanos para penetrar sistemas, mover-se dentro deles e acessar dados. Ao longo de toda a vida útil do ataque, eles priorizam a esquiva, sendo essa abordagem encoberta a que distingue as campanhas APT de operações de malware mais convencionais.
Para obter acesso, os invasores contam com táticas como phishing, exploits de dia zero e engenharia social, normalmente usadas por invasores de perfil mais baixo. Porém, neste caso, essas táticas são mais profissionais e direcionadas, com phishing personalizado de alta qualidade, envolvendo até mesmo cadeias de suprimentos complexas, com o objetivo de se aproximar pouco a pouco do alvo. Ao mesmo tempo, esses grupos diferenciam-se pelo uso de ferramentas altamente personalizadas, muitas vezes de fabricação própria, e exploits de dia zero extremamente caros nos casos em que os ganhos justificam os custos.
As organizações são o enfoque das APTs, mas seu ponto de acesso, em geral, são pessoas físicas, uma vez que os invasores comprometem contas de usuários, dispositivos, endpoints ou relações de confiança com o intuito de conseguir um ponto de apoio e avançar ainda mais no ambiente-alvo.
As invasões do tipo APT se desdobram em etapas, ao passo que muitos grupos APT usam automação, ferramentas adaptativas e IA para recuperar o acesso quando as defesas conseguem rechaçar parcialmente o ataque.
Usuários podem reduzir riscos por meio de medidas básicas essenciais: manter os dispositivos atualizados e praticar higiene cibernética robusta. A defesa eficaz contra ameaças sofisticadas, como APTs, também exige uma abordagem em camadas: monitoramento de endpoints, gateways e redes em busca de anomalias; correlação de telemetria enriquecida por meio de análises avançadas; e o envolvimento de análise humana capacitada para investigar e validar possíveis ameaças.

O que significa APT em cibersegurança?

A ameaça persistente avançada é um ataque direcionado em que os invasores obtêm acesso de longo prazo ao sistema. O termo "avançada" reflete o uso de técnicas e ferramentas sofisticadas, tais como exploits de dia zero, malwares personalizados e métodos assistidos por IA. "Persistente" indica que os invasores permanecem no sistema, monitorando-o continuamente, reconstituindo o acesso e adaptando-se às defesas. As APTs modernas combinam operadores humanos com IA, viabilizando ataques mais rápidos e direcionados que são mais difíceis de detectar. Embora as descrições clássicas de APT na cibersegurança com frequência mencionem ataques em etapas, as campanhas de hoje em dia tendem a introduzir IA para assegurar sua persistência, além de métodos flexíveis de comando e controle a fim de manter o acesso, mesmo se partes da operação forem descobertas.

Por que o fator humano importa

A maioria dos ataques APT começa com alguém sendo enganado. A engenharia social segue sendo um dos meios mais confiáveis para o estabelecimento de ponto de apoio, já que mira no "controle" que todo ambiente tem em comum: as pessoas.

Mesmo defesas técnicas robustas podem ser abaladas se um invasor convencer uma só pessoa a clicar em um link ou compartilhar uma pequena quantidade de informação.

O spear phishing, hoje em dia, não lança mais uma rede enorme nem pulveriza e-mails genéricos a milhares de usuários, mas recorre a dados corporativos verídicos, nomes de fornecedores, projetos em andamento ou até mesmo conversas de e-mail roubadas, transformando-se em comprometimento de e-mail comercial (BEC). Textos redigidos com IA podem tornar essas investidas autênticas e profissionais.

As APTs raramente contam com ganhos rápidos. Em vez disso, trabalham metodicamente ao longo de cadeias de suprimentos complexas em meio a fornecedores, subcontratadas e até conexões pessoais de confiança dos funcionários, tornando cada relacionamento um ponto de entrada em potencial para um ataque à cadeia de suprimentos. Como muitos grupos APT operam com recursos significativos, às vezes com apoio estatal, são capazes de conduzir amplas pesquisas a respeito dos alvos, mapeando redes, estudando comportamentos e, em alguns casos, usando dados sensíveis ou sigilosos.

O baiting também evoluiu. Os invasores usam páginas falsas de login e notificações urgentes que imitam sistemas internos, tornando mais difícil para os usuários identificar a armadilha, especialmente quando mensagens convincentes parecem vir de um colega ou parceiro de confiança.

As decisões humanas moldam as fases iniciais de muitas intrusões APT. Um momento de distração ou uma mensagem de golpe bem elaborada pode dar aos invasores o acesso necessário para se estabelecerem na rede.

Como as APTs funcionam?

Ataques APT normalmente se desdobram em etapas, permitindo que os invasores entrem na rede e conquistem um ponto de apoio sem chamar atenção. A maioria dos ataques segue um padrão conhecido:

Primeira etapa: obter acesso

O acesso é o primeiro passo. Cibercriminosos geralmente obtêm acesso por meio de uma rede, de um arquivo infectado, de e-mails indesejados ou de vulnerabilidades em aplicativos para inserir malware na rede-alvo. Os invasores automatizam testes em múltiplos pontos de entrada simultaneamente e ajustam sua abordagem quando ferramentas de segurança bloqueiam uma tentativa.

Segunda etapa: estabelecer um ponto de apoio

Os cibercriminosos implantam malwares para assegurar a persistência, criando uma rede de backdoors e túneis (com frequência, criptografados) que lhes permitem se mover em um ambiente sem serem detectados. Também podem modificar código para escapar da detecção e encobrir seus rastros.

Esses pontos de apoio são projetados para sobreviver a tentativas de remoção e podem se restabelecer automaticamente. Se a defesa bloqueia uma rota de entrada, os invasores podem migrar para outra via de acesso.

Terceira etapa: aprofundar o acesso

Uma vez infiltrados, os hackers usam técnicas como a quebra de senhas para obter acesso com direitos de administrador de maneira a ter mais controle sobre o sistema e obter níveis de acesso ainda mais elevados. Esse processo também pode ser orientado por ferramentas e scripts automatizados que mapeiam permissões e se adaptam rapidamente caso o acesso seja restrito ou monitorado. Isso torna mais difícil erradicar os invasores.

Quarta etapa: mover-se lateralmente

Ainda mais infiltrados no sistema e munidos de direitos de administrador, os hackers agora podem agir à vontade. Eles também podem tentar acessar outros servidores e outras partes protegidas da rede. Essa é outra área que mais invasores têm automatizado para tentar ampliar sua presença e obter uma compreensão mais ampla do sistema.

Quinta etapa: observar, descobrir e permanecer

Uma vez dentro do sistema, os invasores constroem um entendimento detalhado de como ele funciona e de onde estão seus pontos fracos. Isso lhes permite coletar de forma discreta as informações que desejam e, ao mesmo tempo, se adaptar às medidas de segurança, bem como usar técnicas avançadas de evasão e reinfecção a fim de permanecerem incógnitos no sistema por tanto tempo quanto possível.

Proteção contra APTs

Na defesa contra ameaças persistentes avançadas, não bastam as ferramentas padrão de cibersegurança. As organizações precisam de telemetria de segurança centralizada de múltiplas fontes para detectar padrões dentro de seu ambiente, de análises avançadas alimentadas por inteligência global contra ameaças a fim de identificar táticas e técnicas, além de analistas capacitados ou de um provedor de detecção e resposta gerenciadas (MDR) para investigar e validar ameaças. Igualmente importantes são processos maduros de resposta a incidentes que contenham ataques com rapidez, reduzam impactos e mantenham a continuidade das operações críticas.

Experimente grátis a versão Premium

Como os invasores se movimentam, se ocultam e mantêm acesso de longo prazo

Os invasores geralmente estabelecem presença instalando backdoors ou shells remotos. Essas ferramentas permitem que se reconectem ao sistema sempre que desejarem e dificultam a remoção do acesso. Os golpistas, então, expandem o acesso explorando falhas internas do sistema e elevam seus privilégios para assumir o controle de mais sistemas.

Uma vez infiltrados e ocultos, eles começam a explorar sistemas, contas e ferramentas de comunicação conectadas, como servidores corporativos, serviços de nuvem ou até redes domésticas e pessoais conectadas por meio de dispositivos de trabalho ou contas compartilhadas.

O objetivo é entender como o ambiente funciona e como permanecer invisível enquanto causam danos. Isso dá aos invasores mais tempo para acessar informações pessoais, contas de usuários conectadas e outros dados sensíveis. Eles usam técnicas que deixam poucos rastros. Podem alterar registros ou usar malwares sofisticados sem arquivos, que operam diretamente na memória. Alguns também direcionam sua comunicação por canais criptografados, projetados para se misturar ao tráfego legítimo. Além disso, a persistência assistida por IA é capaz de mudar de comportamento frente à reação das ferramentas de segurança e reconstituir o acesso quando removido.

As melhores defesas são as que utilizam IA e aprendizado de máquina para combater essas ameaças. Essas ferramentas caçam proativamente comportamentos incomuns em contas e redes, podendo identificar padrões de login ou atividades de dados que não correspondem ao uso normal. Isso importa porque muitos ataques avançados não dependem de malwares óbvios; eles se misturam e aguardam.

O foco da proteção inteligente é reduzir riscos precocemente em vez de reagir quando algo dá errado. Ferramentas de segurança conseguem identificar sinais sutis de alerta e limitar o acesso antes que os invasores tenham tempo de progredir ou manter conexão com o sistema.

As defesas contra APT continuam evoluindo

Algumas defesas ainda estão em desenvolvimento. A criptografia resistente à computação quântica é uma abordagem emergente, projetada para proteger dados sensíveis contra métodos futuros de ataque que possam comprometer os padrões de criptografia atuais. Ela é usada cada vez mais por provedores de serviços para fortalecer a proteção de dados a longo prazo.

Incidentes recentes mostram como os métodos de APT estão evoluindo rapidamente e que a definição de ameaça persistente avançada continua a mudar com a tecnologia. Ataques mais recentes têm utilizado atualizações de software comprometidas e até áudios e vídeos de deepfake para engenharia social. Algumas novas técnicas de “living off the land” se baseiam no uso de ferramentas legítimas já presentes no ambiente. Cada caso evidencia o quanto esses grupos são flexíveis e pacientes.

Mesmo quando um ataque APT parece ter sido repelido, a ameaça pode sobreviver, pois os invasores com frequência deixam backdoors e implantes secundários ocultos que lhes permitem voltar depois. Compreender o ciclo de vida completo de uma APT ajuda as organizações a saberem exatamente com o que estão lidando.

Compreender ameaças persistentes avançadas também significa saber quem está por trás delas. Grupos APT geralmente operam no contexto de um ecossistema mais amplo de crimes cibernéticos que pode incluir patrocinadores estatais, agentes por procuração e mercenários cibernéticos. Repelir uma campanha de APT pode derrotar parte de uma infraestrutura ou alguns operadores, mas raramente elimina toda a rede; os agentes, o financiamento e os recursos técnicos remanescentes podem viabilizar a retomada das operações. Em alguns casos, as características apontam para entidades com vínculos estatais que são difíceis ou até politicamente impossíveis de punir. Debelar uma operação de APT, portanto, nem sempre elimina a ameaça a longo prazo.

Agentes de ameaça APT: quem são e o que os motiva

Ataques APT geralmente são conduzidos por grupos grandes e com muitos recursos financeiros, em vez de hackers solitários. Muitos estão ligados a campanhas de Estados-nação, em que governos financiam operações cibernéticas de longo prazo para coletar inteligência ou obter vantagem estratégica.

Também existem atores híbridos, pertencentes tanto a grupos apoiados por governos quanto a redes criminosas. Além disso, há grupos organizados de cibercriminosos que utilizam táticas típicas de APT, entre outras, para roubar dados ou extorquir dinheiro.

Esses invasores costumam mirar setores que prestam serviços essenciais ou que armazenam grandes volumes de dados sensíveis.

Alguns focam em espionagem e vigilância de longo prazo, geralmente com objetivos políticos. Outros buscam ganhos financeiros no curto prazo. O que eles compartilham é paciência e planejamento, pois ataques APT são elaborados para entregar valor a longo prazo, não ganhos rápidos.

Dispositivos pessoais podem propiciar ataques

Dispositivos pessoais e de trabalho são normalmente usados como pontos de entrada: quando o dispositivo se conecta a sistemas corporativos, um laptop ou rede doméstica comprometida pode fornecer aos invasores um ponto de apoio no ambiente-alvo. Fragilidades na segurança doméstica também podem expor redes pessoais e contas vinculadas ao comprometimento mais amplo.

A atividade das APTs é projetada para ser sutil, mas alguns sinais podem ficar evidentes, como alertas de login inesperados, atividade incomum de conta e dispositivos mais lentos do que o normal.

O que diferencia APTs de malwares "normais"?

Malwares regulares ou de "commodity" em geral se espalham de forma ampla e causam danos rapidamente, enquanto os grupos APT escolhem vítimas específicas e agem meticulosa e deliberadamente para não serem pegos.

Ataques de ransomware podem, em alguns casos, fazer parte de operações de APT, buscando bloquear arquivos e exigir pagamento em poucas horas. Contudo, cada vez mais operações de ransomware são usadas para encobrir roubo de dados ou espionagem. Agentes de APT adotam uma abordagem de acesso sustentada e encoberta para que possam estudar o ambiente e reunir dados valiosos ao longo de semanas ou meses. Eles exploram decisões humanas e utilizam técnicas que evoluem conforme as defesas reagem. Esse nível de controle os diferencia de tipos de malware mais simples, que seguem um comportamento fixo.

Como detectar ameaças persistentes avançadas

Detectar ameaças persistentes avançadas é mais difícil, pois sua atividade é concebida para se misturar com o comportamento habitual. Contudo, elas não são totalmente invisíveis, de modo que, com a telemetria certa, padrões incomuns podem emitir alertas precoces:

Acesso a arquivos em horários incomuns
Transferências de dados inesperadas ou sem explicação
Contas acessadas a partir de locais desconhecidos
Desempenho mais lento do dispositivo
Alto uso de rede
Aplicativos estranhos ou tarefas em segundo plano
Alterações inexplicáveis em configurações do sistema ou de aplicativos.

Proteção proativa em camadas

Embora ainda tenham um papel importante na defesa em camadas, ficou no passado a época em que antivírus e firewalls tradicionais eram as principais tecnologias de detecção. Hoje em dia, a defesa contra ameaças persistentes avançadas requer análises baseadas em comportamento e alimentadas por IA, aplicadas à telemetria de endpoints, redes, identidades e nuvens.

Em vez de contar apenas com assinaturas conhecidas, as plataformas modernas de segurança fazem a correlação entre dados de múltiplas origens para detectar padrões anômalos, movimentações laterais, escalonamentos de privilégios e outros indicadores sutis de invasão encoberta de longo prazo. As tecnologias de detecção de ameaças da Kaspersky fazem isso.

Alertas de segurança e monitoramento de contas

Ative alertas de login para as contas mais importantes, em especial as de acesso privilegiado, para que sua equipe seja avisada quando algo parecer estranho. Adote o hábito de conferir registros de login e atividades para confirmar o acesso dentro do esperado: qualquer atividade inesperada é um sinal de alerta precoce para a tentativa de roubo de credenciais.

Quais ferramentas de cibersegurança protegem contra APTs?

Primeiro, não conte apenas com a verificação de assinatura. A detecção de nível corporativo, como EDR e XDR, procura por comportamentos suspeitos de forma proativa, não apenas assinaturas de malware. Ferramentas baseadas em comportamento e IA identificam anomalias mais rapidamente e impedem que invasores avancem nos sistemas corporativos.

Atualizações consistentes e gerenciadas entre endpoints, serviços e nuvem são essenciais para manter a proteção contra as técnicas APT mais recentes e em evolução.

Os controles atuais de segurança corporativa reduzem riscos substituindo a detecção focalizada apenas em ameaças conhecidas pela detecção de comportamento suspeito e alterações não autorizadas. O monitoramento proativo e a detecção de anomalias em EDR e XDR, por exemplo, ajudam a reduzir a exposição de forma contínua e proativa, não apenas após a ocorrência de incidentes.

Alguns produtos de cibersegurança fortalecem a investigação com registros resistentes a adulterações. Técnicas como trilhas de auditoria imutáveis e armazenamento de gravação única preservam a atividade do sistema e evitam que invasores façam alterações não autorizadas, tornando mais difícil para eles encobrir seus rastros.

O que fazer se você suspeitar de comprometimento

Aja rápido.

Comece com a contenção: se o endpoint parecer suspeito, isole-o da rede e deixe-o em quarentena. O objetivo é interromper a disseminação enquanto você busca entender o que aconteceu. Se puder, evite limpezas pesadas de imediato, pois elas podem eliminar as pistas necessárias para entender o escopo do ataque.

Proteja a identidade usando um dispositivo limpo
Trate as credenciais como potencialmente expostas. Em um dispositivo de confiança, redefina senhas e atualize chaves, começando com contas privilegiadas, e-mail e VPN. Em seguida, confira atividades de acesso e alterações recentes em contas em busca de qualquer coisa que não reconheça. Se for o caso, restrinja as políticas de acesso.

Presuma a existência de persistência se o problema for recorrente
Invasores experientes costumam deixar uma porta aberta para retornar: um backdoor, uma tarefa agendada, um token roubado, uma conta secreta ou qualquer coisa que sobreviva à remediação básica.

Procure um especialista quando houver muita coisa em jogo
Se sistemas sensíveis puderem ter sido acessados ou se não for possível determinar com confiança a extensão da invasão, será hora de escalar. A Kaspersky Incident Response pode ajudar a investigar, conter e recuperar, enquanto a Avaliação de comprometimento é o complemento ideal quando você precisa saber se o invasor já está no ambiente, o quanto conseguiu avançar e o que precisa ser corrigido.

Reconstrua se não puder restabelecer a confiança
Às vezes, a opção mais segura é reinstalar os endpoints afetados ou reconstruir os sistemas usando fontes de boa reputação, em especial quando há suspeita de persistência. Se for o caso, torne essa etapa parte de um plano de recuperação mais amplo: redefinição de identidades, segmentação e monitoramento aprimorado para não sofrer uma nova invasão pelo mesmo ponto de entrada.

E não se esqueça do essencial nos dias que se seguirão
Ative a MFA sempre que possível, revise opções de recuperação de conta, regras da caixa de e-mail e vigie de perto as atividades privilegiadas. É justamente nesse período que acontecem tentativas de reentrada.

Como ataques recentes demonstram de que forma as invasões APT se desenrolam

Incidentes reais de APT mostram claramente como os invasores se movimentam de forma silenciosa dentro de redes.

Principais incidentes desde 2020

Solar Winds:

Uma das campanhas mais faladas é o ataque à cadeia de suprimentos da SolarWinds Orion em 2020, quando invasores comprometeram o ambiente de compilação da SolarWinds e inseriram o backdoor nos builds da Orion, que foram posteriormente assinados e distribuídos como atualizações legítimas a ambientes de clientes.

Depois da atualização, os invasores conseguiram restabelecer o acesso remoto dentro das redes. Escolheram, então, organizações específicas para invasões mais profundas, usaram técnicas e ferramentas subsequentes para ampliar o acesso, escalar privilégios e conquistar persistência de longo prazo.

MOVEit:

Mais recentemente, a exploração em massa envolvendo o MOVEit Transfer, em 2023, destacou os riscos associados a ferramentas de transferência gerenciada de arquivos. Um grupo de ransomware explorou uma vulnerabilidade de dia zero no software MOVEit para implantar web shells em servidores expostos e, em seguida, extraiu dados de milhares de organizações de forma silenciosa, antes que o problema se tornasse público.

O que esses incidentes ensinam às empresas

Os invasores não precisam mirar em funcionários um por um quando podem comprometer um fornecedor, uma plataforma ou até uma ferramenta de confiança amplamente usada, já que, ao fazer isso, eles alcançam várias organizações graças a um único ponto de entrada.

Eles também demonstram, na prática, como funciona a persistência em múltiplas etapas. O acesso inicial é em geral só o começo, enquanto furtividade, paciência e persistência para encontrar informações valiosas compensam a espera.

Qual é a lição para as equipes corporativas? Melhore as práticas de higiene cibernética dos funcionários, reduza a exposição da cadeia de suprimentos e implemente soluções e controles que proporcionem detecção e resposta confiáveis, proativos e de múltiplas camadas para limitar o tempo de permanência e evitar que um "simples" ponto de apoio pontual se transforme em um comprometimento grave.

Artigos relacionados:

Produtos relacionados:

Kaspersky Premium

Baixe a avaliação gratuita do nosso plano premium por 30 dias

Perguntas frequentes

Por quanto tempo invasores de APT permanecem em um sistema?

Invasores de APT podem permanecer em um sistema por semanas ou até anos. O objetivo é passar despercebido pelo maior tempo possível, permitindo a coleta contínua de dados e a observação do funcionamento da organização.

Por que ataques APT são tão difíceis de detectar?

Porque são feitos para se misturar, em geral usando ferramentas e técnicas personalizadas que se assemelham a atividades de rotina, de modo que passam despercebidos.

Grupos de APT estão ligados a países específicos?

Acredita-se que muitos grupos APT tenham vínculos ou patrocínios estatais, enquanto outros são grupos criminosos altamente organizados que podem agir em vários países. Relatórios públicos preferem utilizar codinomes em vez de mencionar diretamente países ou governos.

Como os invasores de APT escolhem suas vítimas?

Eles tendem a escolher alvos que possuem dados valiosos ou acesso a sistemas críticos. Entidades governamentais, infraestrutura crítica e grandes empresas são alvos frequentes. Contudo, muitas vezes, organizações de menor porte são atacadas primeiro, pois fornecem um caminho para um ambiente mais amplo.