Com a crise do coronavírus prestes a completar um ano, tornam-se mais facilmente identificáveis as transformações ocorridas durante a pandemia e suas consequências, seja na esfera privada, seja nas corporações.
Entre as principais, estão a aceleração dos processos de transformação digital, que, apesar de já estarem nos roadmaps de empresas de praticamente todos os setores da economia, ganharam caráter de urgência; a adoção do regime de home office por muitas companhias (em muitos casos de forma definitiva); entre outras.
Como se sabe, no entanto, acelerar projetos (mesmo que diante das necessidades trazidas por momentos de crise) traz consequências.
Conforme já foi abordado em uma série de artigos no Side Channel, esses processos foram realizados, em muitos casos, sem a aplicação de controles adequados de segurança que, fora de um período de contingência, seriam a norma.
Isso abriu brechas para que novos e velhos ciberataques ganhassem proeminência.
Neste artigo abordaremos alguns destes ataques, as causas para o aumento na sua ocorrência, como eles vêm se comportando quase um ano após o início da crise e algumas alternativas para evitá-los
Contexto / Por que é importante?
Incidente no qual o operador compromete a operação da vítima com um ataque DDoS e solicita um resgate para interromper o ataque.
Um dos motivos para a aceleração digital durante a pandemia foi a necessidade de ofertar produtos e serviços para uma população sob regime de lockdown. Empresas se viram na situação de migrar parte de suas operações para atender a uma crescente demanda de consumidores online.
Nesse contexto, a interrupção dos serviços, mesmo que parcial e momentânea, significa um relevante prejuízo, o que é um grande motivador para o pagamento de resgates.
Incidentes deste tipo também podem ter outras motivações que incluem questões ideológicas ou geopolíticas.
Entre os alvos de 2020 estão instituições financeiras, órgãos governamentais e empresas de telecomunicações, além do varejo.
Incidente registrado em 2020
Bolsa de Valores da Nova Zelândia (NZX), Agosto de 2020. Por quatro dias um grupo de criminosos utilizando falsamente o nome do conhecido grupo APT28 (Fancy Bear) comprometeu a operação da Bolsa de Valores da Nova Zelândia com um ataque DDoS, interrompendo todas as negociações.
Potencial de continuidade em 2021
A facilidade de extorquir suas vítimas com ameaças de disrupção no serviço (em comparação com a maior dificuldade de invadir sistemas e implantar malwares) torna este ataque especialmente atrativo.
Além disso, a tática deve perdurar enquanto houver empresas dispostas a pagar o resgate e enquanto não houver medidas mais eficazes para mitigar este tipo de ataque.
O que fazer para evitar?
Estudar a contratação de serviços reconhecidos internacionalmente de mitigação de DDoS
Contexto / Por que é importante?
Outra consequência da aceleração dos projetos de transformação digital foi a migração de canais de atendimento para redes sociais e aplicativos de chat, especialmente no setor do varejo.
Atentos a essa tendência, criminosos passaram a criar contas falsas simulando perfis de empresas em redes sociais, monitorando as interações de clientes insatisfeitos e usando o perfil para entrar em contato com o consumidor oferecendo ajuda. O objetivo é obter dados sensíveis da vítima.
Incidentes registrados em 2020
Em 2019 a equipe de takedown da Tempest identificou pouco mais de 500 incidentes envolvendo este golpe. Em 2020 o número cresceu para mais de 19 mil.
Continuidade em 2021
Grandes varejistas vêm atuando juntamente a equipes de inteligência e takedown monitorando e derrubando constantemente perfis falsos.
No entanto, onde houver possibilidade de comunicação entre empresas e seus clientes, há a possibilidade desse tipo de golpe ser praticado. No cenário de aumento desses canais isso tende a aumentar.
O que fazer para evitar?
– Avaliar a contratação de serviços de threat intelligence, sobretudo de takedown de perfis, contas e websites falsos.
Contexto / Por que é importante?
Todo setor produtivo conta com sua cadeia de suprimentos. Mas há uma que passa despercebida pela maioria das empresas. São bibliotecas, libs, APIs e outros elementos utilizados na programação, além de ferramentas “quase invisíveis” como plugins de browsers.
Um caso ocorrido em novembro de 2020 ilustra a importância destes elementos para a cadeia de suprimentos de qualquer empresa.
Naquele mês, usuários de uma extensão do Chrome chamada The Great Suspender denunciaram o app como malicioso. Investigações mostraram que a extensão, originalmente legítima, foi vendida pelo seu desenvolvedor original para uma outra pessoa, que modificou a extensão com código malicioso destinado a executar scripts de forma remota.
A depender do setor, a pandemia – e, mais uma vez, a aceleração dos processos de transformação digital – trouxe a necessidade de contratar novos fornecedores ou novos produtos e serviços de fornecedores já existentes. De desenvolvedores de software a fornecedores de serviços de armazenamento em nuvem, apenas para citar alguns.
A questão é que, ao integrar aspectos da operação a um fornecedor (novo ou não), uma empresa pode também herdar possíveis falhas e brechas de segurança deste fornecedor. Como no caso da extensão do Chrome.
Conforme este artigo do Side Channel, Supply-Chain Attack é um meio utilizado para prejudicar uma determinada organização ao manipular elementos menos seguros da sua cadeia de suprimentos. Esse tipo de ataque pode ser direcionado a qualquer instituição que possua uma cadeia de fornecedores, podendo envolver qualquer indústria, do financeiro ao governamental.
Alguns Incidentes registrados em 2020
SolarWinds. Dezembro de 2020. Em dezembro foi descoberto que o servidor de atualizações da SolarWinds, usado para distribuir o software Orion foi invadido por criminosos que usaram manipularam a ferramenta de modo a implantar backdoors nos computadores onde o Orion está instalado de modo a se infiltrar nestes dispositivos. As vítimas incluem a Microsoft e o Conselho de Segurança Nacional dos EUA.
CCleaner. Apesar de ser um caso de 2017, o incidente envolvendo o software de limpeza e otimização CCleaner é emblemático pelo número de usuários atingidos. Mais de 2 milhões de pessoas foram vítimas de uma versão maliciosa do app, distribuída de forma oficial após criminosos comprometerem os servidores da desenvolvedora por mais de um mês.
Potencial de continuidade em 2021
A crescente complexidade dos negócios tem entre suas consequências o aumento da cadeia de suprimentos. Neste contexto, novas tecnologias e modelos de negócio contribuem para o surgimento de empresas especializadas em suprir estas novas necessidades.
Com a chegada do Open Banking, por exemplo, surgiram no mercado empresas especializadas em viabilizar e coordenar a troca de informações entre instituições financeiras e empresas que, com a nova tecnologia, poderão oferecer aos clientes bancários novos serviços com base em seus perfis.
Este cenário é propício para incidentes envolvendo Supply-Chain Attacks.
O que fazer para evitar?
– Mapear a estrutura e identificar todos os elementos da cadeia de suprimentos da sua empresa
– Monitorar e aplicar atualizações sempre que necessário
– Revisar contratos com fornecedores de serviços como armazenamento em nuvem definindo claramente as responsabilidades de cada parte no que diz respeito a softwares e produtos embarcados.
Contexto / Por que é importante?
Apesar de não ser um tipo de ataque novo, observou-se um aumento considerável no número de incidentes envolvendo ransomware durante a pandemia: um estudo da Temple University com foco em ataques usando ransomware contra instalações de infraestrutura crítica aponta para um aumento de pouco mais de 70 incidentes deste tipo em 2018 para mais de 330 em 2020. Nota: é verdade que ataques contra infraestruturas críticas são apenas uma parte do total de ataques envolvendo esse tipo de malware, mas o dado serve para dar uma ideia do crescimento desta ameaça no período.
Mas mais do que crescer em número, essa ameaça ganhou novas formas mais eficazes de atingir seus objetivos. Acontece que durante 2020 assistimos a mudanças no método de operação de ataques envolvendo ransomware, com predominância de ações “profissionais” em detrimento dos ataques observados em anos anteriores, em que um único indivíduo ou grupo disseminava o malware e aguardava uma vítima “morder a isca” para solicitar o resgate.
Nos últimos anos surgiram grupos organizados especializados em ataques utilizando ransomware. Com o tempo, esses grupos começaram a se especializar em determinados aspectos da operação, com alguns focando no desenvolvimento de variantes capazes de explorar vulnerabilidades mais recentes ou na disseminação da ameaça, por exemplo.
Esses grupos passaram a colaborar entre si em um movimento de “cartelização”, similar ao que aconteceu no tráfico de drogas nas últimas décadas. Esta mudança de foco do ransomware ainda foi “acelerada” graças a mudanças na rotina de pessoas e empresas durante a pandemia.
A migração para o regime de home office em muitos casos foi feita às pressas dado o ineditismo da situação. Infraestruturas em nuvem tiveram que ser montadas rapidamente (abrindo brechas para erros operacionais como a definição de métodos frágeis de autenticação senhas ou a exposição desnecessária de repositórios expostos), VPNs e serviços de acesso remoto como RDPs, VNCs e outros foram habilitados sem o devido cuidado, entre outros problemas.
Tudo isso somado a problemas não tão novos como o uso de Shadow IT (tecnologias “não mapeadas”, instaladas no ambiente por funcionários ou parceiros sem o conhecimento dos administradores), a falta de monitoramento e de planos de resposta a incidentes, falta de controle da cadeia de suprimentos (mais sobre isso em breve) e especialmente a falta de gestão de vulnerabilidades, entre outros, criaram um ambiente propício para exploração por parte dos atacantes.
Neste contexto, novas formas de operar o ransomware ganharam destaque, como o Double Extortion, que é um tipo de cibercrime no qual o operador do ransomware acessa o ambiente e extrai o máximo possível de informações da vítima para só então criptografar os dados. Dessa forma, ele consegue chantagear a vítima de forma mais eficaz, ao ameaçar divulgar as informações roubadas caso o resgate não seja pago.
Uma das suas principais características é a habilidade de adaptação. Múltiplas vulnerabilidades e falhas de configuração podem ser exploradas em diferentes etapas, da infecção inicial à movimentação no ambiente da vítima, o que torna essa ameaça desafiadora.
Em 2020 foram contabilizados 745 ataques deste tipo, incluindo os incidentes sofridos pela montadora Honda e pelo Superior Tribunal de Justiça do Brasil, mostrando que não há discrminação quanto aos alvos.
Alguns Incidentes registrados em 2020
Hospital de Dusseldorf, Alemanha, Setembro de 2020. Um ataque com ransomware comprometeu toda a operação do Hospital de Dusseldorf, causando uma vítima fatal: uma paciente que, em estado grave, não pode receber o tratamento adequado.
Superior Tribunal de Justiça, Brasil, Novembro de 2020. Ataque utilizando a variante RansomExx bloqueou os sistemas do STJ. O acesso ao tribunal à Internet foi derrubado como medida de segurança, implicando no cancelamento de sessões de julgamento.
Honda, Japão, Junho de 2020. A montadora japonesa foi alvo de um ataque de ransomware que levou à interrupção de parte de sua produção global, inclusive no Brasil.
Potencial de continuidade em 2021
Crimes utilizando ransomware são bastante lucrativos e eficazes, o que faz com que esse tipo de ataque permaneça no ranking das grandes ameaças ainda por um bom tempo.
Reações vêm sendo conduzidas. Em janeiro, forças de segurança globais conduziram uma ação coordenada para derrubar a rede NetWalker, cujo ransomware havia sido usado contra escolas, hospitais, agências governamentais e o setor privado. Uma iniciativa promissora, mas ainda incipiente.
O que fazer para evitar?
O alto poder de adaptação do Double Extortion e outras operações envolvendo ransomware o torna uma ameaça complexa de modo que não há “bala de prata” capaz de eliminar todos os riscos de um ataque. Fazer o básico é essencial:
1. Garanta que patches de segurança para sistemas operacionais e softwares sejam aplicados assim que forem disponibilizados de modo a impedir que falhas conhecidas sejam exploradas por atacantes
2. Aplicar múltiplos fatores de autenticação onde for possível a fim de impedir o movimento lateral de possíveis atacantes na estrutura
3. Manter backups atualizados e apartados da estrutura principal
4. Investir na educação para segurança de todos os colaboradores
Além disso recomenda-se:
1.Monitoramento de anomalias como criação de usuários, mudanças em níveis de acesso, alterações de pastas do sistema operacional em estações entre outros indicativos de invasão
2. Manter uma política de controle de instalação e atualização de softwares a fim de evitar os Shadow IT
3. Revisar sistemas e dados compartilhados com fornecedores, bem como seu acesso
4. Estude a possibilidade de adquirir um seguro contra incidentes cibernéticos
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!