Ataque Zero Day: o que é e como se proteger?

Com 84% da população conectada à internet este ano (em 2022, esta porcentagem era de 81%), o Brasil é um dos países com um processo bastante acelerado de informatização e digitalização. E, claro, o aumento das inovações digitais também gera uma série de ciberameaças e ataques contra a privacidade causada pela violação de dados das pessoas. É neste sentido que os ataques de Zero Day são preocupantes: através deles, criminosos cibernéticos conseguem roubar dados, senhas e dinheiro das vítimas.

O termo Zero Day (ou ‘’dia zero’’ em português) é usado para designar dois conceitos distintos: vulnerabilidades e exploits (explorações) do tipo Zero Day.

Uma vulnerabilidade do tipo Zero Day é uma falha em um software ou hardware que ainda não foi descoberta pelos desenvolvedores, o que pode gerar buracos e falhas de segurança. Pode ser qualquer tipo de vulnerabilidade, como um bug, falta de criptografia dos dados, má configuração nas autorizações de usuários ou falhas em processos de autenticação, por exemplo.

Um exploit do tipo Zero Day é um método usado por hackers para atacar sistemas, programas e redes com estas vulnerabilidades que ainda não foram identificadas e corrigidas pelos desenvolvedores.

A expressão Zero Day se refere ao lançamento do produto (software ou hardware) e à consciência dos desenvolvedores em relação ao problema. É uma expressão que identifica que o erro foi identificado praticamente no instante em que o produto foi lançado no mercado.

Na melhor das hipóteses, erros do tipo zero day são informados por usuários, hackers profissionais e especialistas em cibersegurança, o que permite aos desenvolvedores realizar as correções dos erros encontrados. No pior dos casos, cibercriminosos usam estas brechas para realizar vários tipos de ataque hacker e fazer vítimas de diversas formas.

É muito comum que os desenvolvedores disponibilizem patchs com atualizações para corrigir os erros e vulnerabilidades que eles identificam (ou que são encontrados com a ajuda de usuários). Muitas empresas chegam a oferecer recompensas para quem consegue identificar bugs e exploits.

Mas, muitas vezes, estes erros são encontrados por cibercriminosos. Enquanto as vulnerabilidades não são corrigidas, cibercriminosos tiram proveito destas falhas para inserir códigos maliciosos (conhecidos como exploit code), desenvolver malware, utilizar worm e realizar uma série de ações nocivas e roubar dados, invadir dispositivos e tirar dinheiro das vítimas.

Depois de identificar as vulnerabilidades, os cibercriminosos precisam conseguir um meio de acessar o sistema vulnerável. Em muitos casos, eles utilizam técnicas de engenharia social (como phishing) que, no geral, envolvem o envio de e-mail, SMS e mensagens em redes sociais com links e anexos infectados, ou até mesmo chamadas telefônicas para se conectar com as vítimas e induzi-las a instalar algum tipo de malware que permita o acesso dos criminosos.

Muitas vulnerabilidades são comercializadas na dark web, o que potencializa os ataques. Além disto, os criminosos criam versões alternativas dos programas, disponibilizando-os para os usuários de formas ‘’alternativas’’ (como versões gratuitas ou pirateadas), o que aumenta os riscos para as pessoas. Ao baixar estes programas, os sistemas são infectados com malware que acompanhar o software adulterado.

O Brasil é o segundo país do mundo mais suscetível a ataques cibernéticos. Por aqui, os ataques do tipo Zero Day aumentaram em 143% de 2022 para 2023, o que já faz com que esta seja uma das principais modalidades de ciberameaças no país.

Não há um agente único ou apenas um grupo que execute ataques do tipo Zero Day. Mas alguns grupos ganham destaque e renome tanto pela escala quanto pela gravidade dos ataques que realizam.

No Brasil e nos países da América Latina, organizações como Lazarus Group, Lapsus$, Guacamaya, APT28, DarkCasino e Gold Dupont são alguns exemplos de grupos de cibercriminosos bastante ativos nesta região e com largas ações de exploração de Zero Day exploits.

Em muitos casos, a autoria dos ataques não é confirmada por nenhum grupo ou pessoa, o que torna ainda mais difícil criar um panorama de onde eles surgem e por quais pessoas ou organizações eles são feitos.

Cibercriminosos, hacktivistas (hackers que agem com motivações políticas ou sociais), espiões corporativos e até mesmo agentes de ciberguerras são alguns dos tipos mais comuns de grupos e pessoas que realizam ataques do tipo Zero Day.

Há uma imensidão de ataques realizados com vulnerabilidades Zero Day e alguns deles merecem destaque tanto pelas proporções quanto pelos efeitos negativos que causaram.

Stuxnet

O Stuxnet foi um worm de computador que usava diversas vulnerabilidades de Zero Day presentes nos sistemas operacionais Windows. O objetivo era atacar o controle de supervisão e aquisição de dados (SCADA).

A principal vítima do Stuxnet foi o programa nuclear do Irã. O ataque destruiu quase um quinto das centrífugas nucleares iranianas e infectou mais de 200000 dispositivos no país. Ele é considerado como uma das principais ações de guerra cibernética, embora nenhum país tenha assumido a autoria do ataque. Estados Unidos e Israel são os autores mais prováveis.

Invasão da Sony

A invasão da Sony em 2014 também entra na lista dos principais ataques de Zero Day. Cibercriminosos conseguiram usar uma vulnerabilidade Zero Day nos sistemas da empresa para invadir a rede dela e causar um imenso vazamento de dados.

Além disto, as informações roubadas foram divulgadas abertamente, o que incluía cópias de filmes que ainda seriam lançados, planos da empresa, acordos comerciais e e-mails sigilosos da alta cúpula da Sony.

WannaCry

Um dos exploits de Zero Day mais famosos aconteceu em 2016. Através de uma vulnerabilidade no Microsoft Windows, cibercriminosos criaram um ransomware chamado de WannaCry.

Através das brechas de segurança nos sistemas Windows, uma imensidão de usuários tiveram seus dispositivos infectados e foram forçados a pagar pelo resgate dos sistemas sequestrados que eram bloqueados pelos cibercriminosos.

Dridex

Em 2017, cibercriminosos encontraram uma vulnerabilidade no Microsoft Word e desenvolveram um malware chamado Dridex, ocultando-o em anexos do tipo MS Word. As vítimas que baixavam os arquivos acabavam ativando o Dridex, um trojan usado para fraudes bancárias e roubo de dinheiro.

Milhões de usuários foram afetados no mundo inteiro, o que faz do Dridex um dos ataques de Zero Day mais nocivos da história.

Sandworm

Descoberto em 2014, o Sandworm (um worm) foi usado para atacar sistemas operacionais Windows usando Zero Day exploits encontrados neles. O principal alvo foram sistemas de distribuição de energia na Ucrânia, o que faz com que este seja considerado um ataque de guerra cibernética.

Google Chrome

O navegador web Google Chrome também foi afetado por vários ataques de Zero Day em 2021. Os cibercriminosos exploraram um bug no mecanismo V8 do JavaScript que era utilizado pelo browser.

A falha foi corrigida em atualizações posteriores do navegador, mas usuários que ainda usam versões desatualizadas continuam sendo afetados pela falha. Neste ano, a Google precisou corrigir outras cinco vulnerabilidades de Zero Day.

Zoom

Um dos programas mais usados para chamadas de vídeos, o Zoom foi afetado por um exploit de Zero Day em 2020. Através de uma falha identificada em versões mais antigas do Windows, os cibercriminosos conseguiram invadir o sistema através do Zoom e, com os privilégios de admin, conseguiam até mesmo controlar o dispositivo infectado e acessar os arquivos das vítimas.

A vulnerabilidade Zero Day do Zoom foi uma das que permitia maior nível de controle dos cibercriminosos.

Heartbleed

O bug Heatbleed foi lançado em 2014 e usava uma vulnerabilidade do pacote criptográfico OpenSSL. Ela concedia acesso não autorizado à memória criptografada, o que comprometia informações confidenciais.

Shellshock

Outra vulnerabilidade de Zero Day lançada em 2014, o Shellshock tinha como alvos sistemas operacionais com base em UNIX e explorava falhas de segurança contidas no Bash shell. Ela permitia aos cibercriminosos executar comandos diretamente nos sistemas infectados.

Equifax Breach

A empresa Equifax sofreu um ataque de Zero Day em 2017, o que resultou em um imenso vazamento de dados de mais de 147 milhões de usuários. O ataque foi feito através de uma vulnerabilidade no Apache Struts.

JailbreakMe 3.0

Em 2011, uma vulnerabilidade Zero Day encontrada no Adobe PDF foi usada por criminosos para invadir dispositivos com sistemas iOS sem sequer precisar de conexão com a internet.

Petya and NotPetya

Uma série de ataques de ransomware com Petya e NotPetya foram executados em 2016 2 2017 utilizaram vulnerabilidades Zero Day para roubar e bloquear dados e sistemas das vítimas e exigir pagamentos pelos resgates deles.

Praticamente qualquer programa, rede ou hardware podem ser atingidos por ataques do tipo Zero Day. E qualquer pessoa também pode ser afetada por este tipo de ciberameaça.

Sistemas operacionais, navegadores web, aplicações do pacote Microsoft Office, elementos open source, firmware e recursos usados na IoT (Internet of Things, ou Internet das Coisas) são alguns exemplos do que pode ser atingido por exploits Zero Day.

Qualquer pessoa pode ser atingida por ataques Zero Day, mas há alguns grupos que são mais visados e expostos a este tipo de ataque, como pessoas que usam software desatualizado, pessoas que lidam com dados sensíveis, empresas, organizações governamentais e figuras públicas (como artistas, ativistas, políticos, jornalistas, entre outros).

No Brasil, empresas e agências do governo são as principais vítimas de ataques que exploram falhas do tipo Zero Day.

Mas, se partimos do ponto de vista de que qualquer programa ou hardware pode ter falhas de segurança exploradas em ataques do tipo Zero Day, então nós podemos considerar que todos precisam se entender como alvos em potencial deste tipo de ciberameaça.

Os ataques Zero Day são realizados de múltiplas formas e estratégias de ataque cibernético. Então, eles são bastante abrangentes e difíceis de delimitar. Mas há vários elementos que você pode observar e que ajudam a identificar ataques de Zero Day:

• Perda de desempenho: se o seu dispositivo leva mais tempo para executar tarefas, inicializar ou carregar programas, ele pode ter sido afetado por malware explorando vulnerabilidades Zero Day.
• Problemas de execução nos programas: se você perceber qualquer alteração no funcionamento de um programa, ele pode ter sido afetado por explorações de exploits de Zero Day.
• Maior desgaste da bateria: dispositivos com menor durabilidade na bateria podem ser afetados por ataques cibernéticos que exploram vulnerabilidades de Zero Day.
• Janelas estranhas: janelas e pop-ups que aparecem sozinhas ou alterações nas páginas iniciais dos seus navegadores são outro sinal da presença de malware que pode ter sido instalado através de vulnerabilidades Zero Day.
• Alterações em contas: se suas contas em mídias sociais, serviços de e-mail e outras plataformas sofrerem qualquer tipo de alteração, tentativa de acesso não autorizado ou mudanças nas configurações, isto pode ser ação de exploração de falhas de segurança de Zero Day.

No Brasil, há várias organizações privadas e agências de governo empenhadas em combater ameaças de Zero Day e cibercrimes em geral, como as Delegacias de Crimes Cibernéticos, a SaferNet Brasil e o Centro Integrado de Segurança Cibernética do Governo.

Grande parte das estratégias de combate ao cibercrime no Brasil consiste em atualizar sistemas de defesa, implementar equipamentos mais modernos e estratégias de prevenção, além de adotar práticas mais condizentes com as soluções de ciberdefesa adotadas a nível global.

Prevenir é melhor do que remediar e é essencial adotar práticas que te ajudam a se proteger contra os ataques que usam vulnerabilidades de Zero Day:

• Mantenha seus programas, sistemas e aplicativos sempre atualizados: as atualizações ajudam a corrigir erros e vulnerabilidades, o que reduz as chances de sofrer com ataques de Zero Day.
• Tome cuidado com golpes de phishing: muitos ataques Zero Day são executados através de estratégias de phishing. Tome muito cuidado com mensagens estranhas com links e anexos duvidosos, ou você pode acabar entregando dados sensíveis de bandeja para os cibercriminosos.
• Use um bom antivírus: um antivírus profissional é fundamental para manter a proteção do seu dispositivo. Mantenha seu antivírus sempre atualizado e faça verificações no sistema com a maior frequência possível.
• Use uma VPN profissional: uma VPN robusta oferece maior proteção para seus dados e comunicações. A NordVPN conta com a funcionalidade de Proteção contra Ameaças, que ajuda a identificar malware, spyware e websites maliciosos usados em estratégias de phishing muito comuns em ataques de Zero Day.
• Busque informações sempre: acompanhar as novidades sobre ciberameaças e vulnerabilidades também é fundamental para corrigir erros e evitar transtornos com falhas de segurança de programas e hardware. Afinal, conhecimento é sua melhor defesa.

O Brasil enfrenta imensos desafios em termos de cibersegurança. Hoje, é praticamente impossível não lidar com a internet em alguma medida, utilizar algum aplicativo, software ou dispositivo com conectividade.

Então, todos corremos algum risco em maior ou menor grau de sofrer com exploit de Zero Day. Afinal, não dá para garantir que os programas e recursos que usamos não tenham nenhum tipo de erro ou vulnerabilidade, e há uma série de cibercriminosos ansiosos para explorar qualquer oportunidade oferecida por estas brechas de segurança.

Manter os sistemas e programas atualizados, adotar práticas responsáveis de interação com a internet e de cibersegurança são alguns elementos fundamentais para reduzir os danos causados por estas e outras formas de ameaças cibernéticas.