Um único ataque de resgate a um fornecedor de serviços geridos pela Nova Zelândia (MSP) perturbou várias das operações comerciais dos seus clientes de um dia para o outro, a maioria pertencente ao sector da saúde. De acordo com o comissário de privacidade do país, “um incidente de segurança cibernética envolvendo um ataque de resgate” em finais de Novembro, o Ministério da Saúde da Nova Zelândia suspendeu as operações diárias quando impediu o pessoal de aceder a milhares de registos médicos. O Ministério da Justiça, seis autoridades reguladoras da saúde, uma seguradora de saúde, e um punhado de outras empresas também se encontram entre as afectadas pelos danos em segunda mão causados pelo ataque. Há formas de recuperar de um ataque de resgate, mas os danos estendem-se frequentemente aos clientes e vendedores dessa organização atacada.
O MSP visado neste incidente é a Mercury IT, uma empresa sediada na Austrália. Te Whatu Ora, o Ministério da Saúde da Nova Zelândia, não conseguiu aceder a pelo menos 14.000 registos médicos devido à interrupção na Mercury IT. Isto inclui 8.500 registos de serviços de cuidados de luto que remontam a 2015, e 5.500 registos de registo de doenças cardíacas herdadas de 2011. Embora Te Whatu Ora tenha dito numa declaração pública que os seus serviços de saúde não foram afectados pelo ataque de resgate, pode-se facilmente ver como a má postura de segurança poderia prejudicar inadvertidamente os pacientes médicos.
No sector privado, a empresa de seguros de saúde Accuro denunciou um descarregamento ilegal e a divulgação de dados empresariais na sequência do ataque da Mercury IT. A maior parte dos dados roubados pertenciam às finanças da empresa, de acordo com Accuro, numa declaraçãoque foi depois lançada para a teia escura. Alguns dos dados roubados incluem informações de contacto dos membros e números de apólices, acrescenta Accuro, mas afirma que não se observou qualquer utilização indevida dos dados pessoais roubados.
Ataques de MSP: Matar várias aves com uma só pedra
Este incidente mostra como os MSPs são alvos atraentes para os atacantes devido à vasta quantidade de dados de clientes armazenados nos sistemas de uma única empresa. Os criminosos informáticos precisam apenas de explorar as vulnerabilidades de segurança de um MSP para roubar dados confidenciais de dezenas de empresas de uma só vez. Os investigadores estão demasiado cedo na sua investigação para determinar o objectivo e o motivo do atacante, mas há uma lição clara para os administradores de TI nesta história – audite a prática de segurança de um MSP antes de pagar.
Palavras-passe: O elo mais fraco
O 2021 Relatório de Ameaça do MSP pela ConnectWise revelou que 60% dos incidentes com clientes MSP estavam relacionados com o serviço de resgate. Os grupos de resgate só precisam dos frutos mais baixos pendurados para lançar um ataque bem sucedido – palavras-passe fracas. Mesmo enquanto novas formas de autenticação estão a ser desenvolvidas para tornar as senhas obsoletas, as senhas continuam a ser o método mais comum e mais vulnerável de segurança de dados.
Consequentemente, um dos métodos mais comuns para a distribuição de resgates é um ataque de força bruta do PDR. Os atacantes lançam ataques de força bruta utilizando um programa automatizado para tentar uma longa lista de combinações de palavras-passe numa conta até adivinharem a correcta, após muita tentativa e erro. Uma vez dentro, um atacante está livre para roubar dados da organização do alvo e paralisar os seus sistemas com o software de resgate. Uma defesa comum contra ataques por força bruta envolve a definição de um número finito de tentativas de login antes de a conta ser temporariamente bloqueada.
Senhas de Vendedor de Auditoria
As organizações arriscam-se a herdar as fraquezas de segurança dos seus vendedores sem realizar previamente uma auditoria de segurança. O Specops Password Auditor é uma ferramenta gratuita de auditoria de senhas só de leitura que ajuda a tomada de decisões dos administradores de TI através da digitalização de directórios activos em busca de fraquezas de segurança relacionadas com senhas. Utilizando esta ferramenta, os administradores podem visualizar a postura de segurança de cada conta, para que nenhuma conta com palavras-passe violadas passe despercebida.
Specops Password Auditor chega à raiz das senhas fracas ao identificar as políticas de senhas que permitiram a sua criação em primeiro lugar. Com os relatórios interactivos gerados pelo Specops Password Auditor, os MSPs podem identificar se as suas políticas são compatíveis e quais se baseiam nas políticas de senhas padrão. Podem também comparar as suas políticas de senhas com várias normas de conformidade, tais como NIST, CJIS, NCSC, HITRUST, e outros reguladores. Os administradores de TI podem solicitar aos fornecedores e aos seus MSPs que executem esta verificação gratuita e depois obter um relatório apenas de leitura. Para um planeamento de segurança preciso, os administradores podem personalizar o relatório de conformidade da Política de Senha para exibir apenas as normas relevantes para a sua organização.
Descarregue o Specops Password Auditor gratuitamente aqui.