PME à vista: ataques cibernéticos às cadeias de abastecimento

17. Abril 2024
| Sem comentários

Compartilhar postagem

Parcerias, serviços, relacionamentos com clientes – nenhuma organização opera de forma independente. Contratos, compliance e leis regulam a cooperação, mas e os critérios de segurança? Os ataques cibernéticos às cadeias de abastecimento afetam particularmente as pequenas e médias empresas, de acordo com o último relatório de ameaças da Sophos.

No último Sophos Relatório de ameaças: crimes cibernéticos na rua principal Os especialistas em segurança relatam que em 2023 a equipa Sophos MDR respondeu cada vez mais a casos em que empresas foram atacadas através da chamada cadeia de abastecimento, ou seja, a cadeia de abastecimento nos negócios e na infraestrutura de TI. Em vários casos, as vulnerabilidades residem no software de monitorização e gestão remota (RMM) de um fornecedor de serviços. Os invasores usaram o agente RMM em execução nas máquinas da vítima visada para criar novas contas administrativas na rede atacada e, em seguida, usaram ferramentas comerciais de desktop remoto, exploração de rede e configuração de software. Eles então instalaram com sucesso o ransomware LockBit.

Como você responde aos ataques do provedor de serviços?

Muitas vezes não é fácil para as PME organizar a sua própria segurança cibernética do ponto de vista económico e em termos de pessoal. Uma vez alcançado isto, os riscos externos permanecem. Os ataques que exploram software confiável e oferecem a opção de desativar a proteção de endpoint são particularmente pérfidos e frequentemente usados ​​por criminosos. Isso significa: preste especial atenção aos avisos dos sistemas de que a proteção do endpoint foi manipulada ou desativada!

Aquele que acabou de ser publicado Relatório de ameaças: crimes cibernéticos na rua principal documentou vários casos no ano passado, além do software RMM, nos quais os invasores usaram drivers de kernel vulneráveis ​​de software mais antigo que ainda tinham assinaturas digitais válidas. Além disso, os especialistas registraram repetidamente implantações de software especialmente criado que usava assinaturas digitais obtidas de forma fraudulenta – incluindo drivers de kernel maliciosos que foram assinados digitalmente por meio do programa Windows Hardware Compatibility Publisher (WHCP) da Microsoft – para evitar a detecção por ferramentas de segurança e executar código que desativa malware. proteção.

A manipulação de drivers do kernel é um problema

🔎 Os dados coletados nos últimos dois anos mostram que a proporção de tentativas de ataques remotos de ransomware aumentou em geral – um problema contínuo, com ainda mais impulso no segundo semestre de 2023. (Imagem: Sophos).

Como os drivers do kernel funcionam em um nível muito baixo no sistema operacional e geralmente são carregados antes de outro software quando o PC é iniciado, isso significa que em muitos casos eles são executados antes mesmo que o software de segurança possa ser iniciado. As assinaturas digitais funcionam como um bilhete de entrada, por assim dizer. Em todas as versões do Windows desde o Windows 10 versão 1607, os drivers do kernel devem ter uma assinatura digital válida, caso contrário, os sistemas operacionais Windows com inicialização segura habilitada não os carregarão.

Depois que a Sophos notificou a Microsoft sobre a descoberta de drivers de kernel maliciosos em dezembro de 2022 e a Microsoft emitiu um comunicado de segurança, a empresa revogou uma série de certificados de drivers maliciosos obtidos por meio do WHCP em julho de 2023.

Certificados roubados e bibliotecas manipuladas

No entanto, os drivers não precisam necessariamente ser maliciosos para serem explorados. Os especialistas em segurança da Sophos viram vários casos em que drivers e outras bibliotecas de versões mais antigas e até atuais de produtos de software foram usados ​​por invasores para injetar malware na memória do sistema.

Os próprios drivers da Microsoft também foram usados ​​nos ataques. Uma versão vulnerável de um driver para o utilitário Process Explorer da Microsoft foi usada várias vezes por operadores de ransomware para desabilitar produtos de proteção de endpoint. Em abril de 2023, a Sophos relatou sobre uma ferramenta chamada “AuKill“, que usou este driver em vários ataques para instalar o ransomware Medusa Locker e LockBit.

Às vezes é possível identificar drivers vulneráveis ​​antes que possam ser explorados. Em julho, o código de conduta da Sophos foi desencadeado pela atividade de um motorista de um produto de segurança de outra empresa. O alarme foi acionado por um teste de simulação de ataque do próprio cliente. A investigação do incidente revelou três vulnerabilidades que foram relatadas ao fabricante do software e posteriormente corrigidas.

As pequenas e médias empresas podem se defender contra ameaças cibernéticas

As pequenas e médias empresas estão tão expostas a ameaças cibernéticas como as empresas e corporações globais, mas não possuem os recursos financeiros e humanos como elas. Mas você pode se armar:

  • treinamento consistente dos funcionários
  • Uso de autenticação multifator em todos os ativos externos
  • higiene constante do servidor e da rede (correções e atualizações regulares)
  • Migração de recursos difíceis de gerenciar, como servidores Microsoft Exchange, para plataformas de e-mail SaaS
  • Avaliações regulares de vulnerabilidade e testes de penetração
Mais em Sophos.com

 

Sobre a Sophos

A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.

 

Artigos relacionados ao tema

PME à vista: ataques cibernéticos às cadeias de abastecimento

Parcerias, serviços, relacionamentos com clientes – nenhuma organização opera de forma independente. Contratos, compliance e leis regulam a cooperação, mas e daí? ➡ Leia mais

Causas da perda de dados em empresas alemãs

A perda de dados é um problema que ocorre na interação entre humanos e máquinas: “usuários descuidados” são muito mais propensos a serem os ➡ Leia mais

Por que os cibercriminosos visam especificamente os backups

Existem duas maneiras principais de recuperar dados criptografados após um ataque de ransomware: restaurar a partir de backups e pagar o valor pago. ➡ Leia mais

Acesso à rede possível: impressora Lexmark SMB com vulnerabilidade de segurança 8.6

Existe uma vulnerabilidade de Server-Side Request Forgery (SSRF) em dispositivos Lexmark SMB mais recentes. Em alguns casos, um invasor pode ➡ Leia mais

Relatório: Mais ataques a servidores de e-mail e malware evasivo

O Relatório de Segurança na Internet da WatchGuard documenta um aumento dramático no chamado “malware evasivo”, contribuindo para um aumento significativo no volume geral de malware. ➡ Leia mais

Equívoco perigoso: “Não temos vulnerabilidades de TI”

“Tomamos boas precauções e acredito que estamos bem protegidos.” Esta frase frequentemente pronunciada cria uma falsa sensação de segurança ➡ Leia mais

Armazenamento em fita como uma valiosa estratégia de backup e proteção cibernética

Quando se trata de sua solução de recuperação de backup, muitas empresas prestam atenção principalmente às tecnologias de armazenamento que garantem recuperação de dados em alta velocidade para melhorar o negócio. ➡ Leia mais

Ransomware: Grupos de crimes cibernéticos aumentam demandas de resgate

Como mostra um novo relatório, além do ransomware, os cibercriminosos continuam a depender do comprometimento de e-mails comerciais e do uso de e-mails há muito conhecidos, ➡ Leia mais

Sophos, Stories
, , , , ,