Aqueles que lançam ataques de dia zero não são um grupo monolítico; eles têm várias motivações e pertencem a diferentes categorias. Não são apenas os hackers oportunistas que são o problema; existe também um mercado negro em plena expansão em que vulnerabilidades e exploits de dia zero são negociados por grandes somas de dinheiro. Os atores de estados nacionais também estão em busca destas falhas. Em vez de as divulgar, eles costumam armazenar estas vulnerabilidades para criar exploits de dia zero especializados para utilização contra adversários, uma prática que atraiu críticas significativas por colocar organizações inocentes em risco.
Os cibercriminosos geralmente procuram ganhos financeiros, concentrando-se na aquisição de informações confidenciais ou mantendo-as como resgate por meio de encriptação (ransomware) ou ameaça de libertação de dados confidenciais, ou ambos. Agentes patrocinados pelo Estado e hacktivistas utilizam vulnerabilidades de dia zero para promover causas sociais ou políticas, geralmente com o objetivo de recolher dados confidenciais ou divulgar a sua missão. A espionagem corporativa é outro motivador, em que as empresas podem utilizar exploits para obter uma vantagem competitiva acedendo a informações confidenciais de rivais. Por fim, estes ataques podem ser ferramentas de guerra informática, orquestradas por estados-nação que visam à infraestrutura digital de outro país por meio de ataques disruptivos de longo e curto prazo para obter vantagem contra serviços públicos, instituições económicas, investimentos estratégicos e propriedade intelectual, inclusive segredos de Estado.
As explorações de dia zero têm um vasto alcance, visando tudo, desde sistemas operativos e navegadores Web a hardware e dispositivos IoT. Este vasto espetro de dispositivos-alvo é utilizado pelas vítimas, incluindo:
· Utilizadores comuns que têm um sistema vulnerável, como um navegador desatualizado.
· Proprietários de dados comerciais ou de propriedade intelectual valiosos.
· Grandes empresas e organizações que gerem quantidades significativas de dados confidenciais.
· Órgãos governamentais que detêm informações críticas relativas à segurança nacional.
Os alvos podem ser específicos ou amplos. Os ataques de dia zero direcionados visam alvos de alto valor, como órgãos governamentais ou grandes corporações, enquanto os ataques não direcionados se concentram na exploração de qualquer sistema vulnerável que possam encontrar. No último caso, o objetivo geralmente é comprometer o maior número possível de utilizadores, fazendo com que ninguém esteja realmente a salvo de possíveis danos.
A espinha dorsal de um ataque de dia zero é construída sobre vários fatores, incluindo:
· Identificação de uma vulnerabilidade de software, que inclui falhas na execução de aplicações.
· A vulnerabilidade não está a ser divulgada publicamente.
· Desenvolvimento rápido de uma exploração da vulnerabilidade.
Estes fatores são facilitadores de várias atividades prejudiciais, mas a entrega do código de exploração ainda é necessária para avançar num ataque. A entrega de uma exploração pode ocorrer por meio de vários canais:
· Engenharia social: os invasores utilizam uma variedade de meios de contacto, incluindo e-mail personalizado, redes sociais e outras mensagens; um invasor criará um perfil de um alvo para ganhar confiança
· Phishing: os invasores utilizam esse método para enganar os utilizadores e fazê-los abrir um ficheiro ou ligação maliciosa por meio de um e-mail que parece legítimo, mas que na verdade é de um invasor.
· Transferência drive-by: neste cenário, os agentes de ameaças incorporam o código de exploração num website comprometido, mas aparentemente legítimo, como um elemento oculto. Quando os visitantes navegam para o site infetado, a exploração é transferida e executada nos seus sistemas sem a sua ação direta ou consciência. Esta técnica é frequentemente utilizada para realizar ataques de dia zero, utilizando vulnerabilidades de dia zero para se infiltrar discretamente nos sistemas.
· Malvertising: nesta estratégia, os anúncios maliciosos passam por redes de anúncios fiáveis. O simples fato de clicar ou passar o rato sobre estes anúncios aciona o código de exploração. Como os utilizadores tendem a confiar em websites conhecidos, essa é uma maneira astuta de lançar ataques de dia zero.
· Spear Phishing: esta técnica visa utilizadores finais específicos com mensagens altamente personalizadas por e-mail, texto ou outras plataformas. Se um invasor obtiver acesso a uma conta privilegiada, a utilidade de uma exploração será ampliada na infraestrutura de destino. Isto pode expandir o alcance de um ataque para além de uma empresa, incluindo parceiros e outras organizações afiliadas.
Estes explorações também podem ser agrupadas num "pacote de explorações", que sonda o sistema em busca de várias vulnerabilidades e fornece a exploração onde ele será mais eficaz. Quando o código é executado, ele pode causar uma série de danos, desde o roubo de dados até à inoperacionalidade do sistema. Devido à natureza furtiva e sofisticada destes ataques, eles geralmente são difíceis de detetar e prevenir, o que exige estratégias avançadas de prevenção de ataques de dia zero.