Eis três das piores violações, tácticas e técnicas de ataque de 2022, e os controlos de segurança que podem proporcionar uma protecção de segurança empresarial eficaz para eles.
#1: 2 Ataques de RaaS em 13 Meses
Ransomware como serviço é um tipo de ataque em que o software e a infra-estrutura de resgate são alugados aos atacantes. Estes serviços de resgate podem ser adquiridos na teia escura a outros agentes de ameaça e a gangues de resgates. Os planos de compra comuns incluem a compra da ferramenta completa, utilizando a infra-estrutura existente enquanto se paga por infecção, ou deixar que outros atacantes executem o serviço enquanto partilham receitas com eles.
Neste ataque, o actor da ameaça consiste num dos grupos de resgate mais prevalecentes, especializado no acesso através de terceiros, enquanto a empresa alvo é um retalhista de média dimensão com dezenas de sítios nos Estados Unidos.
Os actores da ameaça utilizaram o serviço de resgate como um serviço para violar a rede da vítima. Conseguiram explorar credenciais de terceiros para obter acesso inicial, progredir lateralmente, e resgatar a empresa, tudo isto em meros minutos.
A rapidez deste ataque foi invulgar. Na maioria dos casos de RaaS, os atacantes geralmente permanecem nas redes durante semanas e meses antes de exigirem um resgate. O que é particularmente interessante sobre este ataque é que a empresa foi resgatada em minutos, sem necessidade de descoberta ou semanas de movimento lateral.
Uma investigação de registo revelou que os atacantes visavam servidores que não existiam neste sistema. Ao que parece, a vítima foi inicialmente violada e resgatada 13 meses antes deste segundo ataque de resgate. Subsequentemente, o primeiro grupo de atacantes monetizou o primeiro ataque não só através do resgate obtido, mas também vendendo as informações da rede da empresa ao segundo grupo de resgates.
Nos 13 meses entre os dois ataques, a vítima mudou a sua rede e removeu os servidores, mas os novos atacantes não estavam conscientes destas modificações arquitectónicas. Os guiões que desenvolveram foram concebidos para o mapa anterior da rede. Isto também explica como foram capazes de atacar tão rapidamente – tinham muita informação sobre a rede. A principal lição aqui é que os ataques de resgate podem ser repetidos por diferentes grupos, especialmente se a vítima pagar bem.
“Ataques de RaaS como este são um bom exemplo de como a plena visibilidade permite um alerta precoce. Um global, convergente, plataforma SASE nativa de nuvens que suporta todas as arestas, como a Cato Networks fornece visibilidade completa da rede em eventos de rede que são invisíveis para outros fornecedores ou que podem passar despercebidos como eventos benignos. E, ser capaz de contextualizar totalmente os eventos permite a detecção precoce e a remediação.
#2: O Ataque de Infra-estruturas Críticas em Redes de Alerta de Radiação
Os ataques a infra-estruturas críticas estão a tornar-se mais comuns e mais perigosos. As quebras de instalações de abastecimento de água, sistemas de esgotos e outras infra-estruturas deste tipo podem colocar milhões de residentes em risco de uma crise humana. Estas infra-estruturas estão também a tornar-se mais vulneráveis, e os instrumentos de gestão de superfícies de ataque para OSINT como Shodan e Censys permitem às equipas de segurança encontrar tais vulnerabilidades com facilidade.
Em 2021, dois hackers foram suspeitos de visar redes de alerta de radiação. O seu ataque dependia de dois infiltrados que trabalhavam para uma terceira parte. Estes infiltrados desactivaram os sistemas de alerta de radiação, debilitando significativamente a sua capacidade de monitorizar ataques de radiação. Os atacantes foram então capazes de apagar software crítico e desactivar medidores de radiação (que faz parte da própria infra-estrutura).
“Infelizmente, a digitalização de sistemas vulneráveis em infra-estruturas críticas é mais fácil do que nunca. Embora muitas destas organizações tenham múltiplas camadas de segurança, ainda estão a utilizar soluções pontuais para tentar defender as suas infra-estruturas em vez de um sistema que pode olhar holisticamente para todo o ciclo de vida do ataque. As violações nunca são apenas um problema de phishing, ou um problema de credenciais, ou um problema de sistema vulnerável – são sempre uma combinação de múltiplos compromissos realizados pelo actor da ameaça”, disse Etay Maor, Sr. Director de Estratégia de Segurança em Redes Cato.
#3: O Ataque de Três Passos de Ransomware que Começou com Phishing
O terceiro ataque é também um ataque de resgate. Desta vez, consistiu em três passos:
1. Infiltração – O atacante conseguiu obter acesso à rede através de um ataque de phishing. A vítima clicou num link que gerou uma ligação a um site externo, o que resultou no descarregamento da carga útil.
2. Actividade de rede – Na segunda fase, o atacante progrediu lateralmente na rede durante duas semanas. Durante este tempo, recolheu palavras-passe de administrador e utilizou malware in-memory sem ficheiros. Depois, na véspera de Ano Novo, realizou a encriptação. Esta data foi escolhida uma vez que foi (legitimamente) assumido que a equipa de segurança estaria de férias.
3. Exfiltração – Finalmente, os atacantes carregaram os dados para fora da rede.
Para além destas três etapas principais, foram utilizadas sub-tecnologias adicionais durante o ataque e as soluções de segurança pontuais da vítima não foram capazes de bloquear este ataque.
“Uma abordagem de múltiplos pontos de estrangulamento, que olha horizontalmente (por assim dizer) para o ataque e não como um conjunto de questões verticais e desarticuladas, é a forma de melhorar a detecção, mitigação e prevenção de tais ameaças. Em oposição à crença popular, o atacante precisa de ter razão muitas vezes e os defensores só precisam de ter razão uma única vez. As tecnologias subjacentes para implementar uma abordagem de múltiplos pontos de estrangulamento são a visibilidade total da rede através de uma espinha dorsal nativa das nuvens, e uma pilha de segurança de passagem única que é com base em ZTNA.” disse Etay Maor, Sr. Director de Estratégia de Segurança da Cato Networks.
Como se empilham as soluções do Security Point?
É comum que os profissionais de segurança sucumbam à “falácia do ponto único do fracasso”. Contudo, os ciberataques são eventos sofisticados que raramente envolvem apenas uma táctica ou técnica que é a causa da falha. Por conseguinte, é necessária uma perspectiva abrangente para mitigar com êxito os ciberataques. As soluções de pontos de segurança são uma solução para pontos únicos de falha. Estas ferramentas podem identificar riscos, mas não ligam os pontos, o que pode e tem levado a uma violação.
Aqui está o cuidado durante os próximos meses
De acordo com a investigação de segurança em curso conduzida pela Cato Networks Security Team, identificaram duas vulnerabilidades adicionais e tentativas de exploração que recomendam incluir nos seus planos de segurança futuros:
1. Log4j
Enquanto Log4j fez a sua estreia já em Dezembro de 2021, o barulho que produziu não se extinguiu. O Log4j ainda está a ser utilizado por atacantes para explorar sistemas, uma vez que nem todas as organizações foram capazes de corrigir as suas vulnerabilidades Log4j ou detectar ataques Log4j, no que é conhecido como “remendo virtual”. Recomendam que se dê prioridade à mitigação do Log4j.
2. Firewalls e VPNs mal configurados
Soluções de segurança como firewalls e VPNs tornaram-se pontos de acesso para os atacantes. A sua localização tornou-se cada vez mais difícil, especialmente na era da nebulosidade da arquitectura e do trabalho remoto. Recomenda-se que se preste muita atenção a estes componentes, uma vez que são cada vez mais vulneráveis.
Como Minimizar a sua superfície de ataque e Ganhar Visibilidade na Rede
Para reduzir a superfície de ataque, os profissionais de segurança precisam de visibilidade nas suas redes. A visibilidade assenta em três pilares:
- Informação accionável – que pode ser utilizada para mitigar os ataques
- Informação fidedigna – que minimiza o número de falsos positivos
- Informação atempada – para garantir que a mitigação aconteça antes do ataque ter impacto
Uma vez que uma organização tenha visibilidade completa da actividade na sua rede, pode contextualizar os dados, decidir se a actividade testemunhada deve ser permitida, negada, monitorizada, restringida (ou qualquer outra acção) e depois ter a capacidade de impor esta decisão. Todos estes elementos devem ser aplicados a cada entidade, seja ela um utilizador, um dispositivo, uma aplicação na nuvem, etc. A todo o momento, em qualquer lugar. É disso que se trata o SASE.