A série de ataques cibernéticos a infraestruturas críticas - KRITIS - parece não parar. No início de fevereiro, um ataque de hack pegou a empresa suíça Swissport e interrompeu as operações de voo na Suíça, seguido pelo ataque de ransomware na fazenda de tanques Oiltanking na Alemanha, ataques à SEA-Invest na Bélgica e Evos na Holanda. Alguns comentários de especialistas.
“Os invasores cibernéticos costumam direcionar seus ataques onde podem causar a maior interrupção dos negócios. Dessa forma, a vítima pode estar mais disposta a pagar o resgate para colocar seus sistemas online novamente. Por esse motivo, infraestrutura crítica, hospitais, centros de transporte e redes elétricas da cidade geralmente aparecem nas notícias de ataques de ransomware. Os atacantes sempre encontrarão maneiras de criar situações de pressão que os beneficiem.
Os atacantes estão sempre encontrando novas maneiras
O ransomware não é uma nova ameaça, mas as táticas que os invasores usam para penetrar na infraestrutura corporativa e congelar ou roubar recursos estão evoluindo rapidamente. Anos atrás, os invasores usavam táticas de força bruta para encontrar uma pequena vulnerabilidade em uma empresa e então explorá-la para assumir o controle da infraestrutura. Hoje, existem maneiras muito mais furtivas para os cibercriminosos invadirem a infraestrutura. Na maioria das vezes, eles descobrem como comprometer a conta de um funcionário para fazer login com credenciais legítimas que não levantam suspeitas.
As credenciais são frequentemente roubadas por meio de ataques de phishing em dispositivos móveis. Em smartphones e tablets, os invasores têm inúmeras oportunidades de se envolver em engenharia social via SMS, plataformas de bate-papo de terceiros e aplicativos de mídia social. Além de proteger o endpoint, as organizações também devem ser capazes de proteger dinamicamente o acesso e as ações na nuvem e em aplicativos privados. É aqui que entram as soluções Zero Trust Network Access (ZTNA) e Cloud Access Security Broker (CASB). Ao entender as interações entre usuários, dispositivos, redes e dados, as organizações podem identificar os principais indicadores de comprometimento que apontam para ransomware ou exfiltração massiva de dados. Proteger os dispositivos móveis dos funcionários, bem como a nuvem e os aplicativos pessoais juntos, ajuda as empresas a criar uma postura de segurança sólida com base na filosofia Zero Trust.”
Hendrik Schless, gerente sênior de soluções de segurança do provedor de segurança Lookout
Ransomware de modelo de negócios continua lucrativo
“O ransomware é o modelo de negócios dominante entre os grupos que realizam ataques cibernéticos com fins lucrativos. O que estamos vendo com a recente onda de ataques é que a aplicação limitada da lei não resolverá o problema e certamente não o fará da noite para o dia. Mas Swissport parece ter contido o ataque com danos mínimos à sua capacidade operacional, o que mostra o fato de que o ransomware não é uma jogada de tudo ou nada - o "ataque de ransomware bem-sucedido, mas limitado" é um termo com o qual estamos familiarizados. espero que veremos mais.
Detectar e remover invasores da rede está se tornando uma tarefa operacional diária em muitas organizações. Embora o ataque não tenha sido interrompido antes da criptografia, Swissport parece tê-lo contido rapidamente e limitado com sucesso os danos. O mais importante, especialmente para infraestruturas críticas, são os processos de backup rápidos e funcionais, como a Swissport demonstrou de forma impressionante.”
Fabian Gentinetta do especialista em segurança cibernética Vectra IA
Os danos causados pelo ransomware podem ser imensos
“Vimos os danos que os ataques de ransomware podem causar quando as empresas estão inativas, o que, por sua vez, afeta a cadeia de suprimentos e a vida dos cidadãos. Os recentes ataques à Oiltanking na Alemanha, SEA-Invest na Bélgica e Evos na Holanda, e Swissport são preocupantes, mas falar de ataques coordenados por estados-nação é prematuro. O cenário mais provável é que os invasores estejam trabalhando com um banco de dados que contém alvos semelhantes e atinjam o alvo com seus esforços.
Embora possa levar meses para desvendar os detalhes de um ataque, os relatórios iniciais sugerem que a BlackCat, que se acredita ser uma nova marca BlackMatter, pode ser responsável pelos ataques à indústria de combustível em toda a Europa. Em outro caso nesta semana, a KP Foods também foi vítima de ransomware, com Conti sendo responsabilizado pelas interrupções. O que sabemos sobre esses dois grupos de hackers é que eles operam um modelo de negócios de ransomware como serviço (RaaS). Isso significa que é crime organizado com bancos de dados de vítimas e numerosos parceiros. Eles não se vinculam a um grupo específico de ransomware, mas geralmente trabalham com vários grupos e usam bots poderosos para automatizar a disseminação do malware.
Bots amplificam o efeito
Do ponto de vista da vítima, na verdade, é irrelevante quem é o responsável, até porque isso provavelmente só será conhecido em alguns meses. A questão importante, no entanto, é como os ataques ocorreram. Na maioria dos casos, como no caso do BlackMatter e Conti, é uma vulnerabilidade conhecida que permite que o malware penetre na infraestrutura e criptografe os sistemas. BlackMatter é conhecido por visar software de desktop remoto e explorar credenciais previamente comprometidas, enquanto Conti é conhecido por explorar vulnerabilidades como Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) e EternalBlue (CVE -2017-0143, CVE-2017-0148). Outra via de ataque é explorar configurações incorretas no Active Directory, e tanto Conti quanto BlackMatter são conhecidos por usar essa tática.
As organizações precisam estar cientes de que os princípios básicos de segurança podem bloquear amplamente o caminho do ataque de ransomware. As equipes de segurança devem implantar soluções que forneçam visibilidade, segurança e controle adequados sobre a nuvem e a infraestrutura convergente. Apelo aos negócios: Identifique os sistemas críticos dos quais eles dependem para funcionar. Identifique quaisquer vulnerabilidades que afetem esses sistemas e, em seguida, tome medidas para corrigir ou corrigir o risco. Além disso, tome cuidado com privilégios excessivos no Active Directory que permitem que invasores elevem seus privilégios e se infiltrem ainda mais na infraestrutura! Se essas medidas básicas não forem tomadas, a empresa fica vulnerável e corre o risco de atrapalhar quem atacar.”
Bernard Montel, Diretor Técnico da EMEA e Estrategista de Segurança Sustentável