Sermos os primeiros a dar reposta aos ciberataques oferece-nos uma perspetiva interessante sobre a cibersegurança. Ficamos com outro entendimento sobre a forma como os ataques impactam as organizações e quais as motivações que estão por trás deles. A esmagadora maioria dos ataques a que assistimos têm como objetivo extorquir dinheiro e, por isso, o principal foco das organizações com quem trabalhamos recai precisamente na necessidade de restaurar o negócio depois deste ter sido alvo de ataque e claro, restaurar as brechas responsáveis por enfraquecer o sistema de segurança. Mas as organizações podem melhorar os seus sistemas de segurança. Durante o primeiro trimestre deste ano de trabalho, estudámos os três principais tipos de incidentes com os quais temos lidado. Aqui ficam algumas das aprendizagens que podem contribuir para um ambiente corporativo mais seguro.
Exploração do email
O email foi o método de ataque utilizado em 36% dos incidentes que solucionámos durante o primeiro trimestre. E embora pareça que estamos a constatar o óbvio, o exponencial aumento de ataques bem-sucedidos lançados através do email, tornam-no num meio interessante e passível de ser analisado. Os incidentes que ocorrem através do email enquadram-se em três categorias.:
a. O roubo de credenciais é uma forma extremamente eficaz de ter acesso à rede de uma empresa. Durante o primeiro trimestre assistimos a diferentes tipos de campanhas, tanto direcionadas, como de envio para massas. A grande maioria das explorações que tiveram sucesso eram dirigidas a apenas dois ou três utilizadores por organização e complementadas com emails de phishing adicionais que se faziam passar por colegas de trabalho. A grande maioria das empresas não está protegida contra credenciais infetadas, nem preparada para bloquear emails de phishing, portanto esta é uma área que precisa de atenção.
b. Email empresarial comprometido (BEC) é uma extensão do roubo de credenciais, em que o criminoso se faz passar por um colaborador ou quando este se insere numa conversa de email – quer esta seja entre fontes internas ou externas – e modifica a informação principal, no tempo certo, como é o caso de informações de identificação bancária. Este é um tipo de ataque que tem tido bastante sucesso com vários clientes, levando-os a perder milhões de dólares em pagamentos que acabam por ser desviados para a conta bancária dos criminosos. Ensinar os colaboradores é um dos segredos para parar com este tipo de incidentes que podem vir a tornar-se bastante dispendiosos.
c. Envio de bots e malware: qualquer email com anexo – uma fatura, por exemplo – ou qualquer outro documento semelhante, que as pessoas esperam como método de entrega, continua a ser um método bastante efetivo, simplesmente porque as organizações continuam sem controlos avançados para o email, aplicações ou endpoints.
O Ransomeware continua ativo
Os incidentes de ransomware representam 30% do total de ocorrências com que lidámos no primeiro trimestre deste ano – mas são, de longe os mais impactantes. Cada caso de ransomware com que lidámos causou perturbações aos nossos clientes – desde perdas financeiras a paralisações – que demoraram entre 5 a 10 dias para normalizar, que podia incluir reconstruções do sistema e trabalho de recuperação da marca. Em muitos casos as perdas rondaram os milhões de dólares e centenas de horas para remediar o que tinha sido afetado.
Uma tendência importante que também pudemos verificar ao longo do primeiro trimestre prende-se com a quantidade de informação que os cibercriminosos foram capazes de obter sobre as suas vítimas. Isto inclui o estudo dos ficheiros SEC correspondentes à posição financeira da empresa e à sua utilização para posteriormente escalar pra um pedido de resgate. Embora não negociemos pagamentos com os agentes das ameaças, houve uma situação em que a companhia de seguros da empresa em questão tentou negociar o pagamento com o agente das ameaças. Durante as negociações o criminoso informou a companhia de seguros que sabia exatamente quanto dinheiro o cliente tinha em sua posse e não aceitou um pagamento inferior a isso.
O ransomware Ryuk foi responsável pela maioria dos casos com que lidámos. Na maioria das vezes, o Ryuk nunca foi disseminado diretamente, utilizou sempre um elenco de malwares para servir a infeção final. Normalmente assistimos a infeções que utilizam Emotet e Trickbot antes de implementarem o Ryuk – estas pré infeções começam uma ou duas semanas antes da implementação do Ryuk, o que significa que as equipas de TI devem estar atentas aos sinais que acabam por identificar estas ocorrências. É recomendável executar uma análise de compromisso sempre que for identificado algum sinal de intrusão.
As infeções “Dharma” também ultrapassaram o SamSam e são agora consideradas o ransomware RDP (Remote Desktop Protocol) mais prolífero. Os agentes das ameaças identificam os servidores RDP abertos, mas caso isso não aconteça, os cibercriminosos são capazes de forçar o login ou de utilizar credenciais que tenham sido alvo de phishing para, mesmo assim, acederem aos servidores RDP.
Infelizmente para os administradores da rede, um ataque típico de ransomware ocorre durante o fim de semana ou durante os feriados – altura em que os recursos são limitados. Por isso, se o patching, upgrades e outras atividades de TI não forem suficientes para manter a rede da sua empresa protegida contra os ataques de ransomware, é bom que tenha noção de que poderá ser atacado, principalmente nos dias em que pouco ou nada vai ser possível fazer para normalizar a situação.
Ataques antigos, novos alvos
É possível que tenha ficado com a sensação de que todos estes vetores de ataque a que temos assistido ao longo dos anos possam, eventualmente, ser extintos, com o desenvolvimento de novos controlos e de novas tecnologias. Infelizmente esse pensamento não corresponde à realidade. 16% dos incidentes com que nos deparámos ao longo do primeiro trimestre foram rotulados de “oldies but goodies” e são exemplos deles os logins forçados, o preenchimento de credenciais e os ataques contra PowerShell e RDP. O mais interessante é que todos esses ataques têm agora como alvo a cloud, em vez das tradicionais infraestruturas de rede. Como resultado é essencial assegurar a visibilidade e o controlo da totalidade dos serviços cloud que utiliza, como é o caso do SaaS, IaaS e PaaS. Por outras palavras, garanta que os seus aaSs estão protegidos.
Também temos assistido à exploração das vulnerabilidades EternalBlue nos ambientes do cliente. Estas vulnerabilidades eram exploradas pelo WannaCry e pelo NotPetya e os patches estão disponíveis há mais de dois anos. Não somos capazes de dizer o quão importante é efetuar um patching rigoroso e quão efetivo é no combate aos ataques com que normalmente lidamos.
Concluindo: apesar da equipa da Check Point lidar, ocasionalmente, com algumas ameaças avançadas que surgem pela primeira vez, o seu número é muitas vezes ultrapassado pelas fraudes mais comuns que acontecem via email, ataques de ransomware e explorações antigas, já conhecidas. Existem medidas relativamente simples que se podem adotar e que são capazes de prevenir a grande maioria destas ameaças e ataques – na pior das hipóteses, não podendo solucioná-las, contêm-nas de forma a minimizar o prejuízo da empresa.
Rui Duro
Check Point Sales Manager
