Uma sofisticada combinação de ciberataques já atingiu mais de 150 empresas ao redor do mundo causando prejuízos milionários. Saiba como proteger o seu negócio contra esse novo ataque
Recentemente uma nova modalidade de ciberataque vem sendo utilizada contra organizações em todo o mundo. Os ataques ganharam o nome de Double Extortion por combinarem duas ações de extorsão: a disseminação de ransomware em computadores das redes das companhias e a ameaça de divulgação de informações extraídas destes dispositivos e redes. Até o momento, mais de 150 empresas já foram afetadas por este novo tipo de ataque.
Além da tática, os ataques Double Extortion também trazem como diferencial o uso e a combinação de diferentes técnicas (selecionadas de acordo com cada alvo) para obter acesso ao ambiente da empresa, roubar dados e ativar o ransomware.
Essas técnicas envolvem a exploração de problemas já conhecidos que incluem falhas de configuração, phishing, vulnerabilidades não corrigidas e o uso abusivo de ferramentas de conexão remota.
O primeiro caso de Double Extortion foi divulgado em novembro de 2019. O alvo, uma seguradora dos EUA, teve suas operações afetadas por conta do ataque e foi chantageada a pagar um resgate equivalente a R$ 11 milhões.
Deste então, nosso time de especialistas já identificou 11 grupos de operadores desta ameaça e identificou incidentes nos quais foram exigidos resgates milionários.
Riscos para os negócios
Empresas que sofrem esse tipo de ataque se vêem diante de um dilema que, como veremos adiante, só pode ser resolvido com políticas de segurança e medidas de prevenção bem estabelecidas: se por um lado o custo de pagar o resgate é alto, por outro as consequências de não ceder à chantagem também podem podem ser graves.
A primeira delas é a possibilidade de um vazamento de dados, especialmente se estes dados forem de clientes. A depender do setor da empresa isso pode implicar em sanções e multas aplicadas pelo não cumprimento de regras regulatórias, e é preciso lembrar que a vigência da LGPD irá estender essas sanções.
Além disso, vazamentos de dados também trazem um custo difícil de calcular que é o impacto do incidente na reputação da marca.
Outra consequência possível é o risco de paralisação das operações. Em um caso recente, uma empresa londrina ficou três semanas inoperante enquanto tentava conter um ataque o que, obviamente, também gerou custos.
Não existe bala de prata
Em virtude dos riscos e custos envolvidos, parece óbvio que a melhor estratégia para lidar com o Double Extortion é a prevenção; no entanto, a tática usada pelos operadores da ameaça, na qual qualquer falha ou vulnerabilidade pode ser usada como vetor de ataque, torna a defesa contra este novo ciberataque uma tarefa complexa, na qual não há uma única solução.
É de extrema importância que a equipe de segurança e os times afins mantenham a integridade de sistemas, aplicações e ambientes a fim de reduzir as chances de um incidente. Pensando nisso, compilamos neste artigo algumas soluções e boas práticas de segurança para ajudar as empresas a manter seus dados mais protegidos.
Além disso, recomendamos aos times técnicos a leitura de dois artigos disponíveis no Side Channel no qual aprofundamos o que se sabe até o momento sobre o ciberataque, incluindo as táticas, técnicas, indicadores e uma lista das vulnerabilidades exploradas pelos operadores do Double Extorsion.
1- Avalie e Monitore anomalias e ameaças
Computadores e outros dispositivos de tecnologia produzem uma infinidade de sinais sobre o seu comportamento, alguns deles podendo ser considerados como anomalias que precisam ser monitoradas e investigadas. Combinados com inteligência de ameaça, estes sinais permitem se antecipar às ações dos criminosos, reduzindo as chances de de um possível ataque.
SOC
Para detecção e resposta rápida aos incidentes de segurança e as atividades suspeitas dos cibercriminosos, como nos casos de Double Extortion, é muito importante aumentar o nível de segurança de sua empresa com serviços de SOC (Security Operations Center), capazes de monitorar sistemas e filtrar sinais de diversas fontes, analisando e correlacionando os resultados para detectar possíveis ameaças e criar alertas de forma rápida e eficiente.
Threat Intel
Times de Threat Intelligence atuam na inteligência e antecipação de ameaças cibernéticas investigando e monitorando canais onde os atacantes atuam 24 horas por dia, 365 dias por ano. Contar com uma equipe de especialistas em inteligência de ameaças permite antecipar certas ações de criminosos e também auxiliam na recuperação de assets roubados quando isso foi necessário
Pentest
A atividade de pentest permite identificar falhas de segurança e vulnerabilidades presentes em um ambiente e, colocando-se no papel dos atacantes, simular ataques a fim de verificar quais destas falhas podem ser exploradas em um cenário real.
2- Controle e proteja o seu ambiente
Muitos criminosos se aproveitam da falta de controle que as empresas têm sobre os seus ativos. Permitir que todos os usuários tenham total acesso aos computadores e sistemas que utilizam, por exemplo, pode deixar sua empresa sujeita a ataques. Por isso é necessário restringir acessos desnecessários e checar se o ambiente está seguro contra ameaças.
Criptografia (Dados, Discos, Mídias e fluxos)
A criptografia aumenta a confidencialidade das informações, estejam ou não em movimento. Dessa forma, caso alguma dessas informações seja acessada por criminosos, eles terão mais dificuldade em identificar sua natureza.
Endpoint Protection
Plataformas de proteção de Endpoints – que podem ser uma solução local, híbrida ou baseada em nuvem – protegem dispositivos endpoints tradicionais e móveis usando inteligência artificial (IA) para otimizar as decisões de segurança.
GV (Gestão de Vulnerabilidades)
Processo no qual são feitas varreduras em busca de vulnerabilidades nos ativos da empresa. Isso permite identificar e classificar diversas vulnerabilidades, evitando que elas sejam exploradas em ataques.
GC (Gestão de Compliance)
Processo que se inicia com a documentação de todas as boas práticas de configuração e que continua, após implementação, com a análise de conformidade entre as recomendações e a realidade encontrada na empresa.
3- Proteja seu perímetro
Para aumentar o grau de proteção, é importante considerar os riscos que podem ser originados fora da rede, especialmente em cenários de aumento do número de profissionais em home office, por isso, a segurança de perímetro é de extrema importância para evitar um possível ataque.
CASB
Possibilita identificar e gerenciar rapidamente o uso de aplicativos em nuvem, independentemente de serem controlados ou não pela sua equipe de segurança, evitando que sejam um vetor de ataque. Com o CASB, é possível evitar que dados confidenciais sejam extraídos do ambiente por cibercriminosos que violaram o perímetro através de aplicações em nuvem.
Firewall
Firewalls bloqueiam malwares e ataques em toda a rede e permitem aplicar políticas para melhor defender o perímetro, além de realizar avaliações rápidas para evitar atividades invasivas ou suspeitas que podem resultar no roubo de dados da empresa e dos seus clientes.
4- Aumente a segurança e controle nos acessos
A Tempest oferece ferramentas para controlar e aumentar a segurança dos acessos aos ambientes da sua empresa, evitando o acesso de pessoas não autorizadas a sistemas e aplicações.
Password Less
Uma solução que oferece acesso rápido e seguro, sem necessidade de senhas, para funcionários, fornecedores e terceiros que trabalham remotamente e precisam acessar aplicações e sistemas críticos da empresa utilizando recursos biométricos dos smartphones, sem exigir VPNs, aumentando a segurança de acessos e aliviando a sobrecarga operacional.
Gestão de Credenciais
Essa prática ajuda a evitar que invasores comprometam credenciais valiosas para obter acesso privilegiado ao perímetro e realizem ataques avançados nos quais se incluem o Double Extortion. Envolve o gerenciamento de acessos incluindo proteção proativa e monitoramento de todos os acessos privilegiados aos sistemas críticos da empresa.
5- Conscientize seus funcionários
Muitos dos ataques de Double Extortion (e muitos outros ataques) se baseiam, entre outras técnicas, em e-mails de phishing com documentos maliciosos. Por isso, é importante treinar colaboradores para identificar ataques e orientá-los sobre como proceder caso recebam mensagens suspeitas.
Enterprise Security Awareness Training
Treinamentos que simulam ataques através de diversos diversos meios, explorando técnicas de engenharia social, a fim de testar a reação dos colaboradores diante dos ataques mais sofisticados.
Workshop de desenvolvimento seguro
Equipes de desenvolvimento de aplicações web e mobile podem criar, inadvertidamente, vetores de ataque caso seus softwares sejam desenvolvidos sem requisitos mínimos de segurança. É possível realizar workshops de desenvolvimento seguro, mostrando na prática como problemas desse tipo podem ser identificados (além de explorados) e, principalmente, como eles podem ser prevenidos e mitigados em todas as etapas da programação.
6- Resposta a incidentes
Como qualquer elemento pode ser utilizado para um ataque de Double Extortion, não existe uma receita exata para sua contenção. Por isso, mesmo com toda a proteção, o ataque ainda pode acontecer. Nestes casos, conte com a expertise técnica da Tempest para corrigir e eliminar a ameaça, extraindo evidências em todo o processo.
Resposta a incidentes
Mesmo com todas as medidas de prevenção, não há garantia de que ataques não irão acontecer. Dessa forma, é importante contar com estratégias de contenção de incidentes e para o restabelecimento de ambientes às condições normais de produção. Planos de resposta a incidentes permite ainda identificar a origem do ataque, o que é útil na elaboração de estratégias de segurança que irão reduzir as chances de sucesso de novos ataques similares
Forense digital
Na eventualidade de um ataque, esta especialidade da segurança busca extrair o máximo de evidências disponíveis, com o uso de metodologias de computação forense, as quais serão úteis na condução de investigações, sejam internas ou policiais.
Entre em contato com a Tempest para saber mais sobre as práticas e soluções descritas neste artigo e outras que podem ajudar a proteger o ambiente da sua empresa.
