Tendências emergentes de ameaças cibernéticas
Com este blog, chegamos ao final do Mês de Conscientização sobre Segurança Cibernética 2021, e considero um excelente momento para refletir sobre duas coisas extremamente importantes:
- A segurança cibernética está em cada um de nós.
- As tendências emergentes de ameaças cibernéticas. Abordarei três delas que chamaram minha atenção em particular.
Cadeia de suprimentos
Antes de 2021, os ataques à cadeia de suprimentos deviam ser exclusivamente uma ferramenta para atores sofisticados de ameaças patrocinadas pelo estado. Os recursos e o conhecimento necessários para comprometer um fornecedor de software e integrar código malicioso estavam fora do alcance dos criminosos. No entanto, em julho de 2021, essa suposição foi destruída.
O ransomware REvil foi distribuído através da exploração de uma vulnerabilidade não identificada no código do servidor do Kaseya VSA, uma ferramenta de monitoramento e administração do sistema. Os atores de ameaças abusaram da vulnerabilidade para distribuir seu código malicioso como uma atualização confiável distribuída do servidor comprometido para os sistemas clientes gerenciados pela ferramenta. Com o agente falso malicioso instalado, o software então grava uma versão legítima, mas explorável e antiga de um aplicativo do Windows Defender em disco, eventualmente usando-o para executar o ransomware. Assim, o disco é criptografado a partir de um aplicativo confiável e assinado, executado a partir de um diretório confiável.
O impacto do ataque foi maior do que se poderia imaginar. Kaseya VSA é frequentemente usado para administrar um grande número de sistemas em uma grande variedade de organizações. Atingir os servidores dentro dos Provedores de Serviços Gerenciados significava que um servidor violado afetou muitas organizações. Parar muitas empresas significa mais pagamentos potenciais de resgate para os bandidos coletarem, e, portanto, será uma tática tentadora para muitos outros atacantes no futuro.Em muitos aspectos, atores de APT bem-equipados agem como líderes de pensamento para o resto do cenário de ameaças, mostrando o que um ambicioso e eficaz ator de ameaças pode alcançar. É possível que os atores criminosos que realizaram o ataque de Kaseya possam ter tido algum tipo de apoio ou proteção do Estado, ou eles podem ter conseguido o ataque inteiramente através de seus próprios esforços. Em ambos os casos, é provável que veremos outros casos de cadeias de suprimentos sendo usados para distribuir malware no futuro.
Roubando recursos de computação para obter lucro.
Atores de ameaça criminal são motivados pelo lucro. Um dos modelos de negócios mais bem sucedidos que eles criaram é o do ransomware, onde um sistema pode ser interrompido criptografando dados e exigindo pagamento para trazer o sistema de volta ao seu estado normal.Embora lucrativo, este modelo é muito abrupto. As vítimas podem perceber o comprometimento do sistema muito rapidamente e devem resolver a situação para continuar sua função normal. No entanto, há fraquezas neste modelo para o atacante. O fluxo de receita depende de encontrar continuamente novas vítimas, o que leva tempo e recursos. Se o compromisso for apenas um pequeno inconveniente para a vítima, e na ausência de um backup de trabalho, a vítima pode optar apenas por reperimagem do sistema.
A persistência em um sistema comprometido pode oferecer mais oportunidade de extrair valor do que a abordagem de um único tiro do ransomware. Apropriar-se de recursos de sistemas comprometidos foi uma tática implementada por muitos dos primeiros botnets. Nesses ataques, o controlador botnet roubou recursos, incluindo largura de banda de rede através do envio de spam ou lançamento de ataques de negação de serviço dos sistemas de suas vítimas infectadas.Nos últimos anos, os atacantes desenvolveram criptominers para roubar recursos de computação de sistemas comprometidos. Mineração de criptomoedas requer grandes quantidades de poder computacional para resolver os desafios criptográficos necessários para adquirir novos tokens de criptomoeda. Desenvolver e operar as instalações de computação legítimas para alcançar os cálculos necessários é caro.
No entanto, roubar esses recursos é fácil. Assim, vemos o desenvolvimento de malwares de criptografia que se sentam como um processo de fundo em sistemas comprometidos, roubando recursos para ganhar dinheiro com os bandidos. Embora o lucro de um único sistema seja pequeno, os atacantes podem persistir em sistemas comprometidos por longos períodos de tempo e controlar um grande número de sistemas afetados.A crescente implantação de sistemas e dispositivos inteligentes em nossas casas e locais de trabalho efetivamente significa que estamos instalando muitos pequenos dispositivos de computação conectados à rede sem necessariamente considerar como defenderemos e monitoraremos esses dispositivos. Uma coisa é certa: os bandidos buscarão comprometer e extrair valor desses sistemas, quase certamente roubando seu poder de computação e conectividade de rede.
Fique atento!
Nos últimos dois anos, as tendências de longo prazo do aumento do trabalho remoto e do uso de serviços entregues na nuvem aceleraram maciçamente devido ao trabalho remoto durante a pandemia COVID-19. Com os usuários e os sistemas que acessam fora do ambiente tradicional de escritório, a questão de como autenticar os usuários tem se tornado cada vez mais importante.Nomes de usuário e senhas nunca foram um mecanismo particularmente seguro de verificar as identidades dos usuários. Os usuários são propensos a divulgar seus nomes de usuário e senhas em resposta às pistas socialmente projetadas de ataques de phishing. Estudos mostraram que os usuários até mesmo voluntariamente divulgarão sua senha em troca de uma guloseima de chocolate. O uso contínuo de sistemas legados, escolhas ruins na implementação do sistema ou algoritmos de hash ruins também permitiram que os invasores coletassem um grande número de nomes de usuário e pares de senhas de texto simples.
O uso de autenticação multifatorial oferece uma camada adicional de segurança. Essas abordagens, incluindo o Cisco Duo, exigem que os usuários se autentiquem com um método de login adicional, como responder a um alerta em seu dispositivo móvel. Os telefones pessoais são excelentes para autenticar usuários, já que os usuários são rápidos em perceber quando seus telefones não estão por perto, e esses dispositivos são frequentemente protegidos por biometria, como uma impressão digital.No entanto, o reconhecimento biométrico depende de uma “cadeia de custódia” segura. O dispositivo que lê a impressão digital deve ser seguro, o software que faz interface com o dispositivo de impressão digital deve ser seguro, assim como a conexão que retransmite o resultado para o sistema de autenticação. Nada disso pode ser dado como certo.
Mostramos que é possível imprimir em 3D uma impressão digital que enganará os sistemas de leitura de impressões digitais com equipamentos de impressão 3D de nível consumidor e nada mais do que uma digitalização da impressão digital do usuário. Isso significa que qualquer ator de ameaça bem-equipado poderia desenvolver técnicas de clonagem de impressões digitais para enganar o reconhecimento biométrico.Embora a biometria ofereça uma via adicional de autenticação, todos devemos estar cientes do fato de que o mundo da biometria também abre a possibilidade de novos tipos de ataques.
Em constante evolução
À medida que nosso uso da tecnologia e as capacidades dos atores de ameaças evoluem, o mesmo acontece com a paisagem de ameaças que enfrentamos. Na Talos, monitoramos continuamente o cenário de ameaças, nossa inteligência de ameaças ajuda a alimentar o portfólio de segurança da Cisco. Nossos analistas de resposta a incidentes estão disponíveis tanto para resolver incidentes de segurança cibernética quando acontecem, para compartilhar nossa experiência para garantir que as organizações enfrentem o menor número possível de incidentes, quanto para se preparar com antecedência para que os incidentes sejam resolvidos de forma rápida e fácil.A tecnologia e as táticas dos bandidos continuarão mudando, como tal, devemos garantir que nossas posturas seguras sejam adequadas para as ameaças que enfrentamos.