Aqui estão três das piores violações, táticas e técnicas de invasores de 2022 e os controles de segurança que podem fornecer proteção de segurança empresarial eficaz.
Nº 1: 2 ataques RaaS em 13 meses
Ransomware como serviço é um tipo de ataque no qual o software e a infraestrutura do ransomware são alugados para os invasores. Esses serviços de ransomware podem ser adquiridos na dark web de outros agentes de ameaças e gangues de ransomware. Os planos de compra comuns incluem comprar a ferramenta inteira, usar a infraestrutura existente enquanto paga por infecção ou permitir que outros invasores executem o serviço enquanto compartilham a receita com eles.
Nesse ataque, o agente da ameaça consiste em um dos grupos de ransomware mais prevalentes, especializado em acesso por terceiros, enquanto a empresa-alvo é um varejista de médio porte com dezenas de sites nos Estados Unidos.
Os atores da ameaça usaram ransomware como um serviço para violar a rede da vítima. Eles conseguiram explorar credenciais de terceiros para obter acesso inicial, progredir lateralmente e resgatar a empresa, tudo em poucos minutos.
A rapidez desse ataque foi incomum. Na maioria dos casos de RaaS, os invasores geralmente permanecem nas redes por semanas e meses antes de exigir resgate. O que é particularmente interessante sobre esse ataque é que a empresa foi resgatada em minutos, sem necessidade de descoberta ou semanas de movimentação lateral.
Uma investigação de log revelou que os invasores tinham como alvo servidores que não existiam neste sistema. Acontece que a vítima foi inicialmente violada e resgatada 13 meses antes desse segundo ataque de ransomware. Posteriormente, o primeiro grupo de invasores monetizou o primeiro ataque não apenas por meio do resgate obtido, mas também vendendo as informações de rede da empresa para o segundo grupo de ransomware.
Nos 13 meses entre os dois ataques, a vítima mudou sua rede e removeu servidores, mas os novos atacantes não estavam cientes dessas modificações arquitetônicas. Os scripts que desenvolveram foram projetados para o mapa de rede anterior. Isso também explica como eles conseguiram atacar tão rapidamente – eles tinham muitas informações sobre a rede. A principal lição aqui é que os ataques de ransomware podem ser repetidos por diferentes grupos, especialmente se a vítima pagar bem.
Nº 2: O ataque de infraestrutura crítica em redes de alerta de radiação
Ataques a infraestruturas críticas estão se tornando mais comuns e perigosos. Violações de estações de abastecimento de água, sistemas de esgoto e outras infraestruturas podem colocar milhões de residentes em risco de crise humana. Essas infraestruturas também estão se tornando mais vulneráveis, e as ferramentas de gerenciamento de superfície de ataque, permitem que as equipes de segurança encontrem essas vulnerabilidades com facilidade.
Em 2021, dois hackers eram suspeitos de terem como alvo redes de alerta de radiação. Seu ataque contou com dois insiders que trabalhavam para terceiros. Esses insiders desativaram os sistemas de alerta de radiação, debilitando significativamente sua capacidade de monitorar ataques de radiação. Os invasores conseguiram excluir software crítico e desativar medidores de radiação (que fazem parte da própria infraestrutura).
“Infelizmente, a verificação de sistemas vulneráveis em infraestrutura crítica está mais fácil do que nunca. Embora muitas dessas organizações tenham várias camadas de segurança, elas ainda estão usando soluções pontuais para tentar defender sua infraestrutura, em vez de um sistema que pode analisar de forma holística o ciclo de vida completo do ataque As violações nunca são apenas um problema de phishing, um problema de credenciais ou um problema de sistema vulnerável – elas são sempre uma combinação de vários comprometimentos executados pelo agente da ameaça”, disse um dos pesquisadores .
Nº 3: O ataque de ransomware em três etapas que começou com phishing
O terceiro ataque também é um ataque de ransomware. Desta vez, consistiu em três etapas:
1. Infiltração – O invasor conseguiu obter acesso à rede por meio de um ataque de phishing. A vítima clicou em um link que gerou uma conexão com um site externo, que resultou no download do payload.
2. Atividade de rede – Na segunda fase, o atacante progrediu lateralmente na rede por duas semanas. Durante esse tempo, ele coletou senhas de administrador e usou malware sem arquivo na memória. Então, na véspera de Ano Novo, ele executou a criptografia. Esta data foi escolhida porque foi (com razão) presumido que a equipe de segurança estaria de férias.
3. Exfiltração – Finalmente, os invasores enviaram os dados para fora da rede.
Além dessas três etapas principais, subtécnicas adicionais foram empregadas durante o ataque e as soluções de segurança pontuais da vítima não foram capazes de bloquear esse ataque.
“Uma abordagem de múltiplos pontos de estrangulamento, que olha horizontalmente (por assim dizer) para o ataque, em vez de um conjunto de questões verticais desconexas, é a maneira de aprimorar a detecção, mitigação e prevenção de tais ameaças. Ao contrário da crença popular, o o invasor precisa estar certo muitas vezes e os defensores precisam estar certos apenas uma vez.As tecnologias subjacentes para implementar uma abordagem de ponto de estrangulamento múltiplo são visibilidade total da rede por meio de um backbone nativo da nuvem e uma pilha de segurança de passagem única baseada em ZTNA . ” disse um dos pesquisadores.
Como as soluções de ponto de segurança se comparam?
É comum que os profissionais de segurança sucumbam à “falácia do ponto único de falha”. No entanto, os ataques cibernéticos são eventos sofisticados que raramente envolvem apenas uma tática ou técnica que é a causa da violação. Portanto, uma perspectiva abrangente é necessária para mitigar com sucesso os ataques cibernéticos. As soluções de ponto de segurança são uma solução para pontos únicos de falha. Essas ferramentas podem identificar riscos, mas não ligam os pontos, o que poderia e levou a uma violação.
Aqui está o cuidado para os próximos meses
De acordo com a pesquisa de segurança em andamento realizada pela equipe de segurança da Cato Networks, eles identificaram duas vulnerabilidades adicionais e tentativas de exploração que recomendam incluir em seus próximos planos de segurança:
1. Log4j
Embora o Log4j tenha feito sua estreia em dezembro de 2021, o barulho que ele fazia não diminuiu. O Log4j ainda está sendo usado por invasores para explorar sistemas, pois nem todas as organizações conseguiram corrigir suas vulnerabilidades Log4j ou detectar ataques Log4j, no que é conhecido como “correção virtual”. Eles recomendam priorizar a mitigação Log4j.
2. Firewalls e VPNs mal configurados
Soluções de segurança como firewalls e VPNs se tornaram pontos de acesso para invasores. Corrigi-los tornou-se cada vez mais difícil, especialmente na era da cloudificação da arquitetura e do trabalho remoto. Recomenda-se prestar muita atenção a esses componentes, pois eles estão cada vez mais vulneráveis.
Como minimizar sua superfície de ataque e ganhar visibilidade na rede
Para reduzir a superfície de ataque, os profissionais de segurança precisam ter visibilidade de suas redes. A visibilidade assenta em três pilares:
- Informações acionáveis - que podem ser usadas para mitigar ataques
- Informações confiáveis - que minimizam o número de falsos positivos
- Informações oportunas – para garantir que a mitigação aconteça antes que o ataque tenha impacto
Uma vez que uma organização tenha visibilidade completa da atividade em sua rede, ela pode contextualizar os dados, decidir se a atividade testemunhada deve ser permitida, negada, monitorada, restrita (ou qualquer outra ação) e, então, ter a capacidade de impor essa decisão. Todos esses elementos devem ser aplicados a todas as entidades, seja um usuário, dispositivo, aplicativo em nuvem, etc. O tempo todo, em qualquer lugar. É disso que se trata o SASE.
REFERÊNCIAS:
https://thehackernews.com/2023/02/3-overlooked-cybersecurity-breaches.html
https://www.catonetworks.com/zero-trust-network-access/?utm_source=hackernews