Aqueles que lançam ataques de dia zero não são um grupo monolítico; eles têm várias motivações e pertencem a diferentes categorias. Não são apenas os hackers oportunistas que são o problema; há também um movimentado mercado negro em que vulnerabilidades e exploits de dia zero são negociados por grandes somas de dinheiro. Os atores de estados nacionais também estão em busca dessas falhas. Em vez de divulgá-las, eles costumam armazenar essas vulnerabilidades para criar exploits de dia zero especializados para uso contra adversários, uma prática que atraiu críticas significativas por colocar organizações inocentes em risco.
Os criminosos cibernéticos geralmente buscam ganhos financeiros, concentrando-se na aquisição de informações confidenciais ou mantendo-as como resgate por meio de criptografia(ransomware) ou ameaça de liberação de dados confidenciais, ou ambos. Agentes patrocinados pelo Estado e hacktivistas usam vulnerabilidades de dia zero para promover causas sociais ou políticas, geralmente com o objetivo de coletar dados confidenciais ou divulgar sua missão. A espionagem corporativa é outro motivador, em que as empresas podem usar exploits para obter uma vantagem competitiva acessando informações confidenciais de rivais. Por fim, esses ataques podem ser ferramentas de guerra cibernética, orquestradas por estados-nação que visam à infraestrutura digital de outro país por meio de ataques disruptivos de longo e curto prazo para obter vantagem contra serviços públicos, instituições econômicas, investimentos estratégicos e propriedade intelectual, inclusive segredos de Estado.
Os exploits de dia zero têm um amplo alcance e visam tudo, desde sistemas operacionais e navegadores da Web até hardware e dispositivos de IoT. Esse vasto espectro de dispositivos-alvo é usado pelas vítimas, incluindo:
· Usuários comuns que têm um sistema vulnerável, como um navegador desatualizado.
· Proprietários de dados comerciais ou propriedade intelectual valiosos.
· Grandes empresas e organizações que gerenciam quantidades significativas de dados confidenciais.
· Órgãos governamentais que detêm informações críticas relacionadas à segurança nacional.
Os alvos podem ser específicos ou amplos. Os ataques de dia zero direcionados visam alvos de alto valor, como órgãos governamentais ou grandes corporações, enquanto os ataques não direcionados se concentram na exploração de qualquer sistema vulnerável que possam encontrar. No último caso, o objetivo geralmente é comprometer o maior número possível de usuários, fazendo com que ninguém esteja realmente a salvo de possíveis danos.
A espinha dorsal de um ataque de dia zero é construída sobre vários fatores, incluindo:
· Identificação de uma vulnerabilidade de software, que inclui falhas na execução de aplicativos.
· A vulnerabilidade não estar sendo divulgada publicamente.
· Desenvolvimento rápido de um exploit da vulnerabilidade.
Esses fatores são facilitadores de várias atividades prejudiciais, mas a entrega do código de exploit ainda é necessária para avançar em um ataque. A entrega de um exploit pode ocorrer por meio de vários canais:
· Engenharia social: os invasores usam uma variedade de meios de alto contato, incluindo e-mail personalizado, mídia social e outras mensagens; um invasor criará um perfil de um alvo para ganhar confiança
· Phishing: os invasores usam esse método para enganar os usuários e fazê-los abrir um arquivo ou link malicioso por meio de um e-mail que parece legítimo, mas que na verdade é de um invasor.
· Download drive-by: nesse cenário, os agentes de ameaças incorporam o código de exploit em um site comprometido, mas aparentemente legítimo, como um elemento oculto. Quando os visitantes navegam para o site infectado, o exploit é baixado e executado em seus sistemas sem sua ação direta ou consciência. Essa técnica é frequentemente usada para realizar ataques de dia zero, fazendo uso de vulnerabilidades de dia zero para se infiltrar discretamente nos sistemas.
· Malvertising: nessa estratégia, os anúncios maliciosos passam por redes de anúncios confiáveis. O simples fato de clicar ou passar o mouse sobre esses anúncios aciona o código de exploit. Como os usuários tendem a confiar em sites conhecidos, essa é uma maneira astuta de lançar ataques de dia zero.
· Spear Phishing: essa técnica visa usuários finais específicos com mensagens altamente personalizadas por e-mail, texto ou outras plataformas. Se um invasor obtiver acesso a uma conta privilegiada, a utilidade de um exploit será ampliada na infraestrutura de destino. Isso pode expandir o alcance de um ataque para além de uma empresa, incluindo parceiros e outras organizações afiliadas.
Esses exploits também podem ser agrupados em um "pacote de exploits", que sonda o sistema em busca de várias vulnerabilidades e fornece o exploit onde ele será mais eficaz. Quando o código é executado, ele pode causar uma série de danos, desde o roubo de dados até a inutilização do sistema. Devido à natureza furtiva e sofisticada desses ataques, eles geralmente são difíceis de detectar e prevenir, o que exige estratégias avançadas de prevenção de ataques de dia zero.