Parcerias, serviços, relacionamentos com clientes – nenhuma organização opera de forma independente. Contratos, compliance e leis regulam a cooperação, mas e os critérios de segurança? Os ataques cibernéticos às cadeias de abastecimento afetam particularmente as pequenas e médias empresas, de acordo com o último relatório de ameaças da Sophos.
No último Sophos Relatório de ameaças: crimes cibernéticos na rua principal Os especialistas em segurança relatam que em 2023 a equipa Sophos MDR respondeu cada vez mais a casos em que empresas foram atacadas através da chamada cadeia de abastecimento, ou seja, a cadeia de abastecimento nos negócios e na infraestrutura de TI. Em vários casos, as vulnerabilidades residem no software de monitorização e gestão remota (RMM) de um fornecedor de serviços. Os invasores usaram o agente RMM em execução nas máquinas da vítima visada para criar novas contas administrativas na rede atacada e, em seguida, usaram ferramentas comerciais de desktop remoto, exploração de rede e configuração de software. Eles então instalaram com sucesso o ransomware LockBit.
Como você responde aos ataques do provedor de serviços?
Muitas vezes não é fácil para as PME organizar a sua própria segurança cibernética do ponto de vista económico e em termos de pessoal. Uma vez alcançado isto, os riscos externos permanecem. Os ataques que exploram software confiável e oferecem a opção de desativar a proteção de endpoint são particularmente pérfidos e frequentemente usados por criminosos. Isso significa: preste especial atenção aos avisos dos sistemas de que a proteção do endpoint foi manipulada ou desativada!
Aquele que acabou de ser publicado Relatório de ameaças: crimes cibernéticos na rua principal documentou vários casos no ano passado, além do software RMM, nos quais os invasores usaram drivers de kernel vulneráveis de software mais antigo que ainda tinham assinaturas digitais válidas. Além disso, os especialistas registraram repetidamente implantações de software especialmente criado que usava assinaturas digitais obtidas de forma fraudulenta – incluindo drivers de kernel maliciosos que foram assinados digitalmente por meio do programa Windows Hardware Compatibility Publisher (WHCP) da Microsoft – para evitar a detecção por ferramentas de segurança e executar código que desativa malware. proteção.
A manipulação de drivers do kernel é um problema
Como os drivers do kernel funcionam em um nível muito baixo no sistema operacional e geralmente são carregados antes de outro software quando o PC é iniciado, isso significa que em muitos casos eles são executados antes mesmo que o software de segurança possa ser iniciado. As assinaturas digitais funcionam como um bilhete de entrada, por assim dizer. Em todas as versões do Windows desde o Windows 10 versão 1607, os drivers do kernel devem ter uma assinatura digital válida, caso contrário, os sistemas operacionais Windows com inicialização segura habilitada não os carregarão.
Depois que a Sophos notificou a Microsoft sobre a descoberta de drivers de kernel maliciosos em dezembro de 2022 e a Microsoft emitiu um comunicado de segurança, a empresa revogou uma série de certificados de drivers maliciosos obtidos por meio do WHCP em julho de 2023.
Certificados roubados e bibliotecas manipuladas
No entanto, os drivers não precisam necessariamente ser maliciosos para serem explorados. Os especialistas em segurança da Sophos viram vários casos em que drivers e outras bibliotecas de versões mais antigas e até atuais de produtos de software foram usados por invasores para injetar malware na memória do sistema.
Os próprios drivers da Microsoft também foram usados nos ataques. Uma versão vulnerável de um driver para o utilitário Process Explorer da Microsoft foi usada várias vezes por operadores de ransomware para desabilitar produtos de proteção de endpoint. Em abril de 2023, a Sophos relatou sobre uma ferramenta chamada “AuKill“, que usou este driver em vários ataques para instalar o ransomware Medusa Locker e LockBit.
Às vezes é possível identificar drivers vulneráveis antes que possam ser explorados. Em julho, o código de conduta da Sophos foi desencadeado pela atividade de um motorista de um produto de segurança de outra empresa. O alarme foi acionado por um teste de simulação de ataque do próprio cliente. A investigação do incidente revelou três vulnerabilidades que foram relatadas ao fabricante do software e posteriormente corrigidas.
As pequenas e médias empresas podem se defender contra ameaças cibernéticas
As pequenas e médias empresas estão tão expostas a ameaças cibernéticas como as empresas e corporações globais, mas não possuem os recursos financeiros e humanos como elas. Mas você pode se armar:
- treinamento consistente dos funcionários
- Uso de autenticação multifator em todos os ativos externos
- higiene constante do servidor e da rede (correções e atualizações regulares)
- Migração de recursos difíceis de gerenciar, como servidores Microsoft Exchange, para plataformas de e-mail SaaS
- Avaliações regulares de vulnerabilidade e testes de penetração
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.