Infecção via USB: Como proteger sua empresa de devices maliciosos

Em 2014, o BadUSB se tornou uma febre após ter seu código liberado no github. O famoso hack via entrada USB infectou dispositivos no mundo todo à época.    A prática é simples: ao conectar um device na entrada USB (cartão de memória, pendrive ou cabo USB), o firmware comprometido finge se passar por um teclado, mouse ou expansão de memória. Dessa forma, o malware se camufla para passar pela proteção do sistema operacional, colocando em risco não só o computador, como também a rede a que ele está conectado.   O risco por infecção via USB continua alto atualmente. Isso porque muitas pessoas tem o hábito de conectar pendrives e outros dispositivos USB em qualquer entrada pública, como computadores em coworkings, carregadores em aeroportos e similares.   Esse ato aparentemente inofensivo na verdade é muito arriscado. Para você ter uma ideia, há alguns anos até carregadores falsos de celular foram utilizados como brecha para ciberataques.   Segundo relatório lançado pela empresa Honeywell em 2021, as ameaças via dispositivos externos aumentaram 37% no último ano, e 79% dos ataques são focados em sistemas industriais de tecnologia. O estudo foi baseado em dados de ameaças à segurança cibernética coletados de centenas de instalações industriais ao longo de um período de 12 meses.    Em entrevista dada ao site Cyberscoop, o diretor de pesquisa de segurança cibernética da Honeywell, Eric Knapp, afirmou que “o malware de USB foi um risco sério e crescente de negócios em 2020, com indicações claras de que a mídia removível se tornou parte do manual usado por cibercriminosos para ataques organizados e direcionados, incluindo ransomware”.   Entretanto, não só as indústrias passam por esse problema, e sim todo o mundo corporativo. Ao não configurar corretamente as proteções dos devices contra uma possível infecção via USB, diversas organizações se colocam em risco. Afinal, qualquer colaborador pode conectar um pendrive infectado em sua estação de trabalho sem saber, transferindo automaticamente o malware para a rede empresarial.   A grande dificuldade de identificar unidades comprometidas se dá pelo fato do device removível funcionar normalmente. Esse tipo de malware reproduz exatamente as funções que o pendrive, cabo USB ou cartão de memória possui, dificultando que o usuário perceba qualquer atividade suspeita.   Conforme explica a Cybersecurity & Infrastructure Security Agency (CISA), dos Estados Unidos, se um invasor pode acessar fisicamente um computador, ele pode baixar informações confidenciais diretamente em uma unidade USB. E mesmo que os computadores estejam desligados, eles ainda podem estar vulneráveis, ​​pois a memória de um computador ainda fica ativa por vários minutos mesmo sem energia.    Se um invasor conseguir conectar uma unidade USB ao computador durante esse tempo, ele pode reiniciar rapidamente o sistema a partir do dispositivo infectado e copiar a memória do computador, incluindo senhas, chaves de criptografia e outros dados confidenciais. As vítimas da infecção via USB podem nem perceber que seus computadores foram atacados.  

Tipos de ataques via entrada USB 

  Diversas são as opções para ataques via USB. Recentemente foi revelado o USBSamurai, um cabo que custa menos de 15 dólares e pode ser utilizado para acessar qualquer rede remotamente. Ao digitar uma senha no seu teclado, por exemplo, o malware captura as teclas pressionadas e repassa as informações para os cibercriminosos.   Existem também variantes para infecção via USB. Nem todos possuem a mesma forma de operar, tampouco buscam o mesmo tipo de informação. De acordo com o Bleeping Computers, estas são as formas de atuação mais comuns desses ataques:  

1. Reprogramando o microcontrolador interno do dispositivo USB. O dispositivo se parece com um dispositivo USB específico (por exemplo: carregador), mas realiza as operações de outro (por exemplo: teclado – injeta pressionamentos de tecla).
2. Ao reprogramar o firmware do dispositivo USB para executar ações maliciosas (como download de malware, vazamento de dados, entre outros).
3. O device não chega a reprogramar o firmware do dispositivo, mas aproveita falhas em como os sistemas operacionais normalmente interagem com os protocolos / padrões USB.
4. Causa ataques elétricos baseados em USB.

  Confira abaixo alguns outros tipos de ataques que podem ser operados via USB:   Rubber Ducky: Plataforma comercial de ataque por teclado lançada em 2010. Uma vez conectado a um computador host, o Rubber Ducky se apresenta como um teclado e injeta uma sequência de teclas pré-carregadas.   Malduino / Evilduino: Usa microcontroladores Arduino. Também funciona emulando um teclado / mouse e pode enviar pressão de tecla / movimentos do cursor do mouse para o host de acordo com um script pré-carregado.   PHUKD / URFUKED: Semelhantes ao Rubber Ducky, mas permitem que um invasor selecione o momento em que injeta as teclas maliciosas.   USBdriveby: Fornece instalação rápida e secreta de backdoors, substituindo, em questão de segundos, as configurações de DNS em um host desbloqueado via USB. Simula um teclado e mouse USB.   iSeeYou: Aplicação que reprograma o firmware de uma classe de webcams iSight internas da Apple para que um invasor possa capturar vídeos secretamente sem o aviso do indicador LED.    Ataques HID baseados em smartphone: O driver malicioso interage com a API do dispositivo USB Android para simular teclado USB e dispositivos de mouse conectados ao telefone.   Imagem via Bleeping Computers  

Como proteger sua empresa de dispositivos USB infectados

  É crucial que você não utilize portas USB desconhecidas e pendrives de outras pessoas. Apenas conecte pendrives USB ou outros dispositivos de armazenamento ao seu computador se você souber a procedência deles.   É preferível pecar pelo excesso. Isso porque os cibercriminosos podem infectar um dispositivo removível e colocá-lo em um local público para fazer novas vítimas.   Confira 4 dicas para manter sua empresa segura contra infecção via USB:  

1) Não permita que os colaboradores conectem unidade USB desconhecida ao computador

Lembremos do modelo de Confiança Zero. Crie uma regra interna para que colaboradores não possam utilizar entradas USB nas estações de trabalho. Proíba não só o uso de pendrives, como também de cartões de memórias e cabos de carregamento de celular. Vale também proibir o uso de unidades externas corporativas em computadores e celulares pessoais. Dessa forma é possível evitar que os devices sejam infectados por algum malware.  

2) Desative a execução automática do Windows 

O recurso “execução automática de mídias” faz com que mídias removíveis sejam abertas automaticamente quando inseridas. Ao desabilitar essa opção, você pode evitar que um código malicioso em uma unidade USB infectada seja aberto automaticamente.  

3) Mantenha softwares de segurança e sistemas operacionais atualizados

Use firewall, software antivírus e software anti-spyware para tornar seu computador menos vulnerável a ataques e manter as definições de vírus atualizadas.  

4) Tenha uma equipe de infraestrutura em segurança

A VNX Partners é especialista em manter empresas seguras. Entre em contato pelo formulário neste link para conhecer nossas soluções de segurança digital.