Hoje a conversa é sobre risco cibernético, em especial sobre os ataques de ransomware, que é uma forma de malware que criptografa dados críticos e exige um resgate para a descriptografia, representando uma ameaça crescente e significativa para as empresas, especialmente no setor financeiro.
Eu pessoalmente já estive em duas IFs que sofreram estes ataques, e que tiveram, devido ao seu preparo e resiliência, fins bem distintos, mas que me fez me preocupar bastante cada vez mais com este tipo de risco, que considero um dos que mais pode impactar as empresas, assim como acho, pelo que tenho visto, um dos que as empresas estão menos preparadas para lidar, um pouco pelo desconhecimento, até pela falta de informação, por isto mesmo este post será para ajudar um pouco com isto.
Será um post longo, pois é muita informação importante para passar, talvez um pouco técnico, mas tentarei ser didático em uma linguagem que todos consigam ajudar, e também diria que é um dos posts mais importantes que estou escrevendo nos últimos tempos. Espero que ajude.
Em especial as instituições financeiras, devido à quantidade substancial de ativos e informações sensíveis que possuem, tornam-se por isto mesmo alvos primários para ataques cibernéticos motivados financeiramente, onde estes ataques não apenas resultam em perdas financeiras diretas, mas também em interrupções operacionais extensas e danos à reputação e perda de clientes.
Por isto mesmo começo falando um pouco sobre as tendências de Ransomware e suas implicações para estratégias de defesa contra as mesmas, com conceitos que espero que não os vejam na prática sendo usados contra vocês:
Ransomware-as-a-Service (RaaS):
Começo aqui comentando sobre a chegada do modelo "RaaS" no crime cibernético, que popularizou o acesso às ferramentas de ransomware, permitindo que qualquer hacker com habilidades técnicas limitadas execute ataques.
Isso implica a necessidade de uma vigilância contínua e aprimorada, especialmente na detecção de comportamentos suspeitos e na implementação de soluções de segurança capazes de identificar e bloquear o ransomware antes que ele se ative.
A educação contínua dos funcionários sobre as últimas técnicas de phishing e engenharia social torna-se relevante, pois muitos ataques de RaaS começam com um simples email de phishing.
Extorsão Dupla:
Trata-se da ameaça de vazar dados roubados caso o resgate não seja pago.
Com a adoção da técnica de extorsão dupla pelos hackers, as empresas devem ir além da simples manutenção de backups, precisando cada vez mais implementar soluções robustas de prevenção de perda de dados (DLP) e criptografar dados sensíveis para proteger contra a exfiltração de dados.
Além disso, a monitoração contínua do tráfego de rede para detectar sinais de exfiltração de dados pode ajudar a identificar e mitigar ataques antes que eles se concretizem.
Corretores de Acesso Inicial (IABs)
O papel dos IABs na facilitação do acesso inicial aos sistemas das vítimas destaca a importância de uma gestão rigorosa de vulnerabilidades e da segurança de endpoint.
A realização regular de varreduras de vulnerabilidade e a aplicação de patches de segurança em tempo hábil podem prevenir o acesso inicial. Além disso, a adoção de soluções de detecção e resposta a endpoints (EDR) e a implementação de autenticação multifator (MFA) em todos os pontos de acesso críticos são medidas essenciais para fortalecer a postura de segurança contra essas ameaças.
Depois das tendências, bom também comentar sobre os mais conhecidos grupos de hackers especializados em ransomware, contando um pouco o que fazem, suas principais características e como reconhecê-los.
LockBit:
O que fazem?
O LockBit é um grupo de ransomware que opera principalmente através do modelo Ransomware-as-a-Service (RaaS). Eles são conhecidos por criptografar os dados das vítimas e exigir um resgate para a descriptografia. Além disso, empregam a tática de "dupla extorsão".
Principais características:
Alta eficiência na criptografia de arquivos, alegando ser o "encriptador mais rápido" no cenário de ransomware. Em uma das experiências práticas que tive, vi que uma vez iniciado o processo, eles são bem rápidos em encriptar mesmo, dando pouco tempo para uma reação física de desligar na hora o micro ou servidor.
Uso de técnicas sofisticadas para evitar detecção e análise por parte das equipes de segurança.
Operações globais, atacando empresas de vários setores e regiões.
Como reconhecê-los?
Ataques do LockBit geralmente começam com phishing ou exploração de vulnerabilidades conhecidas para ganhar acesso inicial.
Utilizam uma nota de resgate característica e aplicam extensões específicas aos arquivos criptografados, como "HLJkNskOq" para variantes LockBit 3.0.
BlackCat:
O que fazem?
BlackCat (também conhecido como ALPHV) é um grupo relativamente novo de RaaS que surgiu em novembro de 2021. Eles desenvolvem payloads de ransomware sofisticados escritos em Rust, uma escolha incomum que oferece melhor desempenho e dificulta a análise de segurança.
Principais características:
Primeiro ransomware notável escrito na linguagem de programação Rust.
Emprega táticas de dupla extorsão, similar ao LockBit.
Acredita-se ser o sucessor do grupo DarkSide, compartilhando semelhanças em técnicas e operações.
Como reconhecê-los?
O uso de ransomware escrito em Rust é uma característica própria.
Campanhas de phishing e exploração de vulnerabilidades para acesso inicial, seguidas de comunicações de resgate que especificam o uso do BlackCat.
Lazarus:
O que fazem?
O Lazarus é um grupo patrocinado pelo estado norte-coreano, envolvido em uma ampla gama de atividades cibernéticas maliciosas, incluindo roubo de informações, espionagem cibernética e ataques de ransomware. Eles visam principalmente instituições financeiras e criptomoedas para financiar os esforços do regime.
Principais características:
Altamente sofisticado e apoiado pelo estado, com recursos significativos.
Envolvido em algumas das operações de ciberataque mais notórias, como o WannaCry e o roubo do Banco Central de Bangladesh.
Foco em ataques financeiramente motivados, incluindo roubo direto de fundos e manipulação de mercados de criptomoedas.
Como reconhecê-los?
Ataques altamente sofisticados que muitas vezes utilizam zero-days ou explorações de alto nível.
Padrões de ataque que indicam um interesse direto em ganho financeiro ou espionagem.
Uso de malware e técnicas específicas associadas a operações anteriores do Lazarus.
Cada um desses grupos representa uma ameaça significativa no cenário global de segurança cibernética, com métodos e objetivos distintos que exigem vigilância constante e defesas robustas por parte das organizações visadas.
Feito esta breve introdução, queria agora comentar sobre as principais estratégias de prevenção contra ransomware, para que as conheça e tenha certeza de que estão sendo implementadas adequadamente em suas empresas:
Redução da Superfície de Ataque:
O primeiro passo para proteger uma empresa contra ataques de ransomware é entender e minimizar sua superfície de ataque. Isso envolve a manutenção de um inventário detalhado de ativos e a identificação de riscos associados, permitindo que a organização direcione recursos para fortalecer as defesas contra pontos de entrada potenciais para ransomware.
A superfície de ataque de uma empresa abrange todos os pontos onde um invasor pode tentar entrar ou extrair dados. Para reduzi-la efetivamente é importante e para isto algumas medidas necessárias são:
- Inventário de Ativos: Manter um registro atualizado de todos os ativos digitais, incluindo dispositivos, aplicativos e dados. Isso ajuda a entender o que precisa ser protegido.
- Gerenciamento de Vulnerabilidades: Implementar um processo proativo para a identificação e correção de vulnerabilidades nos ativos. Isso inclui atualizações regulares de software e o uso de ferramentas de varredura de vulnerabilidades.
- Controle de Acesso: Restringir o acesso a sistemas e informações apenas aos usuários que necessitam desse acesso para realizar suas funções. Aplicar o princípio do menor privilégio pode minimizar os riscos de um ataque bem-sucedido.
- Segurança de Endpoint: Fortalecer a segurança dos dispositivos finais através de soluções antivírus, antimalware e ferramentas de detecção e resposta a endpoints (EDR), para detectar e mitigar ameaças rapidamente.
- Implementação de uma Estratégia de Segurança em Camadas:
Adotar uma abordagem de segurança em camadas, que inclui pessoas, processos e tecnologia é uma das mais importantes na minha opinião, o que envolve também o treinamento regular em cibersegurança para todos os funcionários, campanhas de conscientização, controles de segurança eficazes, e soluções robustas de backup e recuperação de desastres.
Uma abordagem em camadas para a segurança cibernética envolve múltiplas defesas em diferentes pontos da rede, criando barreiras redundantes contra ataques, o que inclui:
- Treinamento em Conscientização de Segurança: Educar os funcionários sobre os riscos de segurança, como phishing e engenharia social, e ensiná-los a reconhecer e responder a ameaças.
- Controles de Segurança Técnica: Utilizar firewalls, sistemas de prevenção de intrusões (IPS), gateways de email seguro e soluções de segurança de rede para filtrar tráfego malicioso e ataques.
- Backup e Recuperação de Desastres: Manter backups regulares e testá-los frequentemente para garantir a rápida recuperação de dados em caso de ataque de ransomware. Armazenar cópias de backup off-line e em locais separados fisicamente pode proteger contra a criptografia de backups por ransomware.
- Validação de Controles de Segurança:
A validação regular de controles de segurança para endpoints, rede, dados e email garante que eles estão funcionando corretamente e de forma eficaz. Ferramentas de Simulação de Ataque e Violação (BAS) podem simular vários tipos de ataques em um ambiente controlado, fornecendo insights valiosos sobre as defesas da empresa e identificando quaisquer fraquezas.
Testar e validar a eficácia dos controles de segurança permite identificar lacunas na postura de segurança de uma empresa antes que os hackers o façam. Isso pode ser alcançado por meio de:
- Simulações de Ataque e Violação (BAS): Ferramentas BAS permitem simular uma ampla gama de ataques para testar a eficácia dos controles de segurança e identificar vulnerabilidades.
- Testes de Penetração (Pen Test): Realizar testes de penetração regulares, onde os especialistas em segurança tentam explorar vulnerabilidades e penetrar nas defesas da empresa, ajuda a entender como um hacker real pode operar.
- Auditorias de Segurança: Revisões periódicas das políticas, procedimentos e configurações de segurança para garantir que estejam alinhadas com as melhores práticas e requisitos regulatórios.
- Desenvolvimento de um Plano de Resposta a Ransomware:
Ter um plano de resposta específico para ataques de ransomware, incluindo a identificação de pessoal crítico responsável por monitorar e responder a um ataque, pode ajudar a minimizar o impacto e reduzir o tempo de inatividade. O plano deve incorporar os resultados das simulações BAS e incluir estratégias de mitigação e investigação para prevenir ataques futuros.
Um plano de resposta a incidentes específico para ransomware prepara a empresa para responder de forma rápida e eficaz a um ataque, minimizando o impacto, o que inclui:
- Equipe de Resposta a Incidentes: Designar uma equipe com responsabilidades claras, incluindo análise forense, comunicação interna e externa, e recuperação de sistemas.
- Procedimentos de Resposta: Desenvolver procedimentos detalhados para a detecção, contenção e erradicação de ransomware, bem como para a recuperação de sistemas e dados afetados.
- Comunicação e Notificação: Estabelecer planos de comunicação para informar partes internas e externas, incluindo autoridades regulatórias e clientes.
Colocando estes pontos, gostaria de ser mais específico e detalhar um pouco mais destas macro estratégias acima, falando de cada um dos momentos específicos de um ataque e por onde eles passam, para que possa proteger cada uma delas com uma estratégia específica. Ainda que seja um tema um pouco técnico vou tentar ser o mais didático possível, passando os principais conceitos que todos precisam conhecer e saber e atuar para se proteger adequadamente.
1) Como é Feito o Acesso Inicial:
- Phishing
O phishing continua a ser uma das principais técnicas de acesso inicial, explorando a engenharia social para enganar os usuários e obter acesso não autorizado. Para combater isso vai precisar:
Treinamento em Conscientização de Segurança: Realizar treinamentos regulares para educar os funcionários sobre como identificar tentativas de phishing, enfatizando a importância de verificar a autenticidade de emails, links e anexos antes de interagir com eles.
Filtros de Email Avançados: Implementar soluções de segurança de email que utilizem análise de comportamento e inteligência artificial para detectar e bloquear emails de phishing.
Exploração de Vulnerabilidades
A exploração de vulnerabilidades em aplicações expostas publicamente apresenta um risco significativo. Para mitigar esses riscos vai precisar:
Atualizações e Patches: Manter sistemas operacionais, software e aplicações atualizados com os patches de segurança mais recentes para corrigir vulnerabilidades conhecidas que possam ser exploradas.
Scanners de Vulnerabilidade: Utilizar ferramentas de varredura de vulnerabilidades para identificar e remediar proativamente falhas de segurança em aplicações e sistemas.
Credenciais Roubadas
A utilização de credenciais roubadas para obter acesso não autorizado é uma tática comum, ainda as estratégias eficazes são:
Autenticação Multifator (MFA): Implementar MFA para adicionar uma camada extra de segurança, dificultando para os invasores acessarem sistemas mesmo com credenciais roubadas.
Higiene de Senhas: Promover práticas fortes de criação e manutenção de senhas, incentivando os usuários a usar senhas únicas e complexas para diferentes serviços.
Corretores de Acesso Inicial (IABs):
O acesso por meio de IABs destaca a importância de uma postura de segurança proativa, onde medidas principais incluem:
Monitoramento e Detecção de Ameaças: Utilizar soluções de detecção de intrusão e resposta a incidentes para identificar atividades suspeitas que possam indicar acesso não autorizado.
Análise de Comportamento: Aplicar soluções de segurança que monitoram o comportamento do usuário e da rede para detectar padrões anormais que possam sinalizar uma intrusão.
Acho estas duas entre as mais importantes e principais e mais efetivas. Mandatórias!
2) Fase da Execução do Ataque:
A fase de execução é bem importante pois é quando o ransomware tenta se estabelecer no sistema da vítima, então abaixo as seguintes práticas podem ajudar a prevenir essa etapa:
Controles de Segurança de Endpoint:
Soluções EDR: Implementar soluções EDR que podem detectar, bloquear e remediar atividades maliciosas em endpoints em tempo real.
Privilégios Limitados: Garantir que os usuários operem com os menores privilégios necessários para suas tarefas, limitando assim o potencial de execução de scripts maliciosos.
Estratégia de Defesa em Profundidade:
Camadas de Segurança: Adotar uma abordagem de defesa em profundidade, integrando diversas camadas de segurança, como firewalls, segmentação de rede e sistemas de prevenção de intrusões, para criar múltiplos obstáculos contra ataques.
Monitoramento Contínuo: Estabelecer operações de segurança que incluam monitoramento constante dos sistemas e da rede para detectar e responder prontamente a atividades suspeitas.
Descoberta:
Nesta fase da Descoberta, os hackers buscam entender melhor a rede da vítima para planejar ataques subsequentes mais eficazes, então algumas das contramedidas de proteção são:
Segmentação de Rede:
Aplicar Segmentação: Dividir a rede em segmentos menores, limitando o acesso dos atacantes a partes críticas da infraestrutura da rede. Isso não só complica o movimento lateral, mas também reduz o risco de ataques em grande escala dentro da rede.
Pessoalmente acho esta uma das mais importantes. Mandatória!
Detecção de Uso Não Autorizado de Ferramentas:
Monitoramento de Ferramentas Administrativas: Utilizar soluções de segurança para monitorar e alertar sobre o uso de ferramentas de administração de sistema, como systeminfo.exe e netscan.exe, pode ajudar a identificar atividades suspeitas precocemente.
Restrição de Privilégios:
Limitar Acessos: Implementar uma política de privilégios mínimos, garantindo que os usuários e sistemas tenham apenas os acessos necessários para realizar suas funções. Isso dificulta que os atacantes encontrem e explorem informações sensíveis.
Monitoramento Contínuo:
Análise de Tráfego: Continuamente monitorar e analisar o tráfego de rede para identificar padrões anormais ou atividades suspeitas que possam indicar um ataque em andamento ou planejamento.
Outra ferramenta que precisa ter. Mandatória!
4) Acesso a Credenciais:
A obtenção de credenciais é um passo fundamental para os hackers pois vai lhes permitir não apenas acessar sistemas restritos, mas também camuflar suas atividades maliciosas. E para se defender algumas dicas úteis:
Políticas de Senha Forte:
Políticas de Senha: Estabelecer e reforçar políticas de senha forte, requerendo combinações complexas e mudanças regulares de senha, para diminuir a probabilidade de comprometimento de credenciais.
Proteção de Credenciais:
Habilitar Credential Guard: No ambiente Windows, ativar o Credential Guard ajuda a proteger as credenciais armazenadas no sistema, limitando técnicas como o uso de Mimikatz para dump de memória LSASS.
Varreduras Regulares de Endpoint:
Detecção de Ferramentas de Dump de Credenciais: Implementar varreduras regulares nos endpoints em busca de ferramentas conhecidas de dump de credenciais, e bloquear qualquer tentativa de uso dessas ferramentas.
Software EDR:
Uso de EDR: Implementar soluções EDR capazes de detectar processos, redes e artefatos indicativos de dump de credenciais, oferece uma camada adicional de segurança ao identificar e mitigar essas tentativas em tempo real.
5) Escalada de Privilégios:
A capacidade de elevar privilégios é importante para hackers que buscam maximizar o impacto de suas ações dentro de uma rede comprometida. E algumas estratégias de mitigação são:
Princípio do Menor Privilégio: Aplicar rigorosamente o princípio do menor privilégio, garantindo que as contas tenham apenas os acessos necessários para suas funções. Isso limita a capacidade dos atacantes de utilizar uma conta comprometida para operações maliciosas.
Atualizações e Patches: Manter todos os sistemas operacionais e softwares atualizados é fundamental para proteger contra a exploração de vulnerabilidades conhecidas.
Monitoramento e Auditorias: Monitorar a atividade do usuário, os logs do sistema e o tráfego de rede pode ajudar a identificar comportamentos suspeitos que sinalizam tentativas de escalada de privilégios. Além disso, auditorias de segurança regulares podem descobrir e corrigir falhas de segurança ou configurações incorretas.
6) Evasão de Defesa:
Os atacantes empregam métodos de evasão de defesa para evitar a detecção por soluções de segurança implementadas. Técnicas como "Masquerading" e "Indicator Removal" são usadas para mascarar atividades maliciosas e eliminar vestígios de sua presença, respectivamente, e algumas das estratégias de mitigação são:
Abordagem de Segurança em Múltiplas Camadas: Utilizar uma combinação de tecnologias avançadas de detecção e resposta a ameaças, como EDR, para identificar e interromper atividades suspeitas antes que elas causem danos.
Ferramentas SIEM: A implementação de ferramentas de SIEM permite o monitoramento em tempo real, a gestão de logs e a resposta a incidentes, facilitando a detecção e a resposta a atividades de evasão de defesa.
Monitoramento de Arquivos Críticos: Manter vigilância sobre alterações não autorizadas em arquivos críticos do sistema pode ajudar a detectar e prevenir tentativas de remover indicadores de comprometimento.
7) Comando e Controle:
Para combater a fase de Comando e Controle, que é importante para o sucesso dos ataques de ransomware, as seguintes práticas são recomendadas:
Segmentação de Rede:
Aplicar Segmentação Rigorosa: Isolar sistemas críticos e sensíveis em segmentos de rede distintos para reduzir a superfície de ataque e limitar a capacidade dos atacantes de se moverem lateralmente pela rede.
Controles de Segurança de Rede:
Implementar IPS e NGFW: Utilizar sistemas de prevenção de intrusões e firewalls de próxima geração para monitorar e bloquear atividades suspeitas ou maliciosas na rede, incluindo tentativas de estabelecer conexões de comando e controle.
Monitoramento de Tráfego:
Análise de Tráfego de Rede: Monitorar ativamente o tráfego de rede para detectar atividades anormais ou padrões suspeitos que possam indicar a presença de canais de comando e controle, como túneis seguros estabelecidos por ferramentas como Ngrok.
8) Roubo e Saída de Dados Sensíveis:
Para prevenir a saída e perda de dados sensíveis, uma tática cada vez mais utilizada em ataques de ransomware para pressionar as vítimas a pagar o resgate, você deve:
Criptografia de Dados:
Criptografar Dados Sensíveis: Utilizar criptografia forte para proteger dados sensíveis armazenados e em trânsito, assegurando que, mesmo em caso de exfiltração, os dados permaneçam inacessíveis para os hackers.
Soluções DLP
Implementar DLP: Utilizar soluções de prevenção de perda de dados para monitorar e bloquear a transferência não autorizada de informações sensíveis fora da rede da empresa.
Outra medida na minha opinião mandatória.
Monitoramento de Contas de Armazenamento na Nuvem:
Vigilância de Contas de Armazenamento: Monitorar atividades suspeitas em contas de armazenamento na nuvem, como acessos não autorizados ou transferências de arquivos anormais, para detectar tentativas de saída não permitida de dados.
9) Diminuir o Impacto:
Finalmente para mitigar o impacto dos ataques de ransomware, que buscam paralisar as operações da vítima através da criptografia de arquivos, e ajudar na sua resiliência, você deve investir em:
Backups Regulares:
Manter Backups Atualizados: Realizar backups regulares de dados críticos e garantir que eles sejam armazenados de forma segura e inacessível a partir da rede principal, seguindo a regra 3-2-1 para backups.
Testes de Backup:
Verificar a Integridade dos Backups: Testar regularmente os backups para assegurar sua integridade e a capacidade de restauração rápida dos dados, minimizando assim o impacto operacional de um ataque de ransomware.
Implementando todas estas estratégias acima, as empresas vão, sem dúvida, fortalecer significativamente sua postura de segurança contra as sofisticadas técnicas de ransomware empregadas por grupos de hackers, reduzindo assim o risco de comprometimento, perda de dados e impacto operacional.
Bom, fico por aqui depois deste longo texto, onde tentei resumir um pouco dos meus aprendizados, e espero que seja útil, até como uma lista do que precisa fazer do seu lado para estar mais protegido.