As recentes alterações no preço da gasolina têm gerado grande preocupação para os brasileiros, afinal, o aumento no combustível representa um aumento em vários serviços e produtos. Se o aumento já é um grande problema, imagine acordar com a notícia de que quase 50% da gasolina do país poderia literalmente evaporar do mercado?
Essa foi a notícia que apavorou os consumidores americanos em maio de 2021. Isso porque a Colonial Pipeline Company, empresa de oleoduto responsável pelo abastecimento de combustível para uma grande faixa do sudeste até o norte dos EUA, havia se tornado vítima de um ataque ransomware em seus sistemas, que interrompeu o abastecimento de combustíveis.
Perigoso e altamente rentável para seus executores, o ransomware é uma das categorias do crime cibernético que mais cresce, podendo atingir o custo total de US$ 265 bilhões em 2031, segundo as previsões da Cybersecurity Ventures.
As consequências das ações desse sequestrador de dados digitais são preocupantes para a segurança das empresas, sendo fundamental conhecer as etapas, caminhos e os objetivos dos ataques, bem como quais as táticas podem ser utilizadas na mitigação dessa ameaça. É o que veremos a seguir.
Discorrer sobre ransomware é falar sobre malware, o termo utilizado para definir de forma ampla os programas maliciosos desenvolvidos para roubar dados de usuários ou sistemas. Além de roubar os dados, os malwares possuem diversas formas, com estratégias diferentes, a saber:
Os programas maliciosos que se passam por softwares ou aplicativos legítimos, infiltrando-se em máquinas e dispositivos móveis para roubar informações, recrutar botnets e até espionar atividades dos usuários.
Os worms são o tipo mais antigo de malware, utilizados para proliferação, ou seja, infectar o maior número de máquinas possíveis, podendo agregar outros programas maliciosos ou apenas sobrecarregar as redes com demandas de largura de banda.
Responsáveis pelos anúncios constantes e irritantes em sites, esses malwares coletam dados pessoais dos usuários e personalizam os anúncios, com o objetivo de gerarem receita.
O ransomware é uma categoria de malware que sequestra os dados digitais, solicitando o pagamento de um resgate em criptomoedas para a liberação dos mesmos. O sequestrador digital pode atuar de duas maneiras:
Contudo, o ransomware não se resume apenas a criptografia ou bloqueio, os ataques envolvem várias etapas de execução, tornando-o ainda mais perigoso e merecedor de atenção.
Os crimes cibernéticos ocorrem através de uma combinação de estratégias, inteligência e ferramentas (os malwares). Sendo assim, a primeira etapa da execução do ransomware consiste no reconhecimento do alvo, o que significa executar uma pesquisa sobre a empresa, sua receita, setor de atuação, site e quanto ela vale no mercado. Essas informações guiarão a definição do preço do resgate e da abordagem a ser utilizada pelo criminoso.
Nessa etapa, os atacantes realizam uma coleta de informações sobre o alvo, disponíveis em sua maioria nas redes sociais, informações de endereço do Protocolo de Internet (IP) e, principalmente, históricos de credenciais vazadas anteriormente.
Esse histórico de credenciais vazadas em 2021 foi altíssimo, registramos cerca de 43,3 milhões no mundo.
As credenciais com privilégios administrativos concedem níveis altos de acessos ao usuário, possibilitando alterações nas configurações dos sistemas, alterações de contas administrativas, instalações de programas, etc. Afinal, se o usuário é o administrador daquele sistema, ele possui o direito de alterar e substituir suas funcionalidades.
Em resumo, se os cibercriminosos obtiverem credenciais com privilégios administrativos terão muito sucesso em suas ações maliciosas, principalmente em ataques ransomware.
Diante disso, quanto mais informações coletadas, mais assertivas serão as próximas etapas, por isso os atacantes montam quase que um dossiê com dados sobre colaboradores, fornecedores e terceiros que possuam ligações com a empresa-alvo.
Esse reconhecimento e coleta de informações guiará o planejamento do ataque, analisando qual será o melhor caminho para execução das próximas etapas.
Após concluir o reconhecimento é hora de planejar como utilizar as informações coletadas para obter acesso ao alvo desejável. Essa etapa envolve desenvolver e-mails falsos bem elaborados, com elementos convincentes para enganar a vítima a executar a ação necessária para que o ataque aconteça.
Cabe ressaltar que, caso o invasor tenha credenciais corporativas em mãos, conseguirá elaborar campanhas e páginas falsas mais direcionadas.
O criminoso pode utilizar também páginas falsas idênticas a uma página de um fornecedor ou banco, capturando mais informações da vítima, como usuário e senha, oferecendo também download de um arquivo infectado com um malware.
O objetivo é planejar a melhor forma de obter sucesso no ataque, para entregar o artefato.
É nessa etapa que a execução do ataque acontece de fato. Por ser um malware, é necessário que o ransomware esteja instalado na máquina para infiltrar e propagar no sistema alvo. Como observamos na etapa do planejamento, esse delivery malicioso pode ocorrer por meio da exploração de diferentes canais e vulnerabilidades.
O canal mais utilizado é o e-mail phishing, com um malware embutido que permite o acesso aos sistemas da vítima. Como o atacante possui informações sobre seu alvo, consegue elaborar e-mails convincentes e um artefato bem elaborado para obter o controle e escalar privilégios.
Uma vez instalado no sistema, o atacante começa a escalada de privilégios administrativos, ganhando mais terreno e poder. É através dessa movimentação que ele conseguirá encontrar e acessar os arquivos para exfiltrar e criptografar. Ele executa um scan da rede, identificando os dispositivos e localizando os ativos mais valiosos.
A movimentação lateral consiste em infectar mais dispositivos e aumentar seus privilégios, obtendo credenciais de administrador. Após obter mais acessos e espaço nessa movimentação, o atacante pode passar para as etapas finais do ransomware.
Com acesso privilegiado ao sistema da vítima, o invasor pode instalar o backdoor que alimentará o acesso contínuo à rede. Esse backdoor criará contas de administrador, e em seguida, desabilitará as regras do firewall, garantindo o acesso remoto à área de trabalho de outros servidores e sistemas da rede.
Nessa etapa o controle do invasor está completo e ele pode ver e fazer qualquer coisa, desde se passar por qualquer usuário na rede e até enviar e-mails do CEO da empresa para todos os funcionários, além de impedir o acesso dos profissionais de TI aos sistemas.
A exfiltração dos dados é uma estratégia aprimorada dos ataques ransomware mais recentes. Antigamente, o objetivo era criptografar um sistema operacional e os arquivos de uma rede. Com as novas medidas de defesa por parte das empresas, os cibercriminosos passaram a adotar novas táticas para garantir a lucratividade e sucesso nos ataques.
Aqui entra a exfiltração (ou extrusão) de dados, o processo de extrair e transferir as informações confidenciais. Caso não ocorra o pagamento os invasores podem publicar essas informações em fontes abertas ou promover leilões nas subcamadas da web.
Em 2020, criminosos utilizaram o ransomware REvil para roubar bancos de dados de empresas agrícolas canadenses, promovendo leilões das informações na Dark web.
Enfim chegamos a etapa onde o invasor criptografa os dados da vítima. Nessa etapa o invasor pode aplicar dois tipos de criptografia:
O objetivo é inutilizar o máximo possível de dados da rede da empresa. Isso feito, eles limpam as cópias arquivadas dos dados e garantem que todos os dados de destino sejam criptografados quando forem distribuídos por vários servidores, dispositivos ou locais. Finalizada essa etapa o sequestrador pode solicitar o pagamento do resgate.
É nessa última etapa que o termo ransomware faz jus ao seu nome. A extorsão é a etapa onde a vítima percebe que dados estão inacessíveis, sendo então notificado pelo invasor, que exibe informações para o pagamento de um resgate em criptomoeda, em troca da liberação dos dados.
Nessa altura, o caos já está instalado, pois, além dos dados estarem inacessíveis, aplicativos e sistemas inteiros também podem ser desabilitados pela criptografia.
Outro efeito colateral são as ameaças de vazamento público desses dados, em fóruns da dar web, em leilões ou até mesmo na surface.
Analisar as etapas de um ataque ransomware nos ensina que existe inteligência e lógica nas ações do cibercrime. É claro que nem sempre todas as etapas são seguidas com precisão e dedicação por parte do invasor, mas entendê-las é fundamental para trabalhar ações de segurança mais proativas e efetivas.
Mas, como podemos trabalhar ações de segurança mais amplas, além do perímetro interno da rede, dispositivos, rede e infraestrutura de TI de uma organização?
Alguns pontos fundamentais nesse processo:
Acompanhar e monitorar vazamento e fraudes na internet - se você não realiza o monitoramento de vazamento de dados e fraudes na internet, saiba que os invasores estão sempre buscando informações nessas fontes. Como revelou o Verizon Data Breach Investigations Report, 2017: 81% dos ataques começam com credenciais de funcionários roubadas. Sendo assim, é fundamental acompanhar credenciais expostas, além de estar atento às outras práticas ilegais que prejudicam a marca e facilitam as ações do ransomware.
Monitoramento de credenciais corporativas e de executivos - As credenciais privilegiadas precisam ser acompanhadas, pois, muitos vazamentos ocorrem de forma proposital ou por ações de cibercriminosos. Cerca de 34% dos incidentes de vazamentos de dados envolveram atores internos, segundos do Verizon Data Breach.
É preciso ter em mente que a gestão das credenciais é um grande desafio para a segurança das empresas, já que em muitos cenários existe um controle inadequado dos acessos e privilégios administrativos. Por isso, é válido monitorar as informações expostas e verificar infrações relacionadas às credenciais de executivos.
Realize o monitoramento da marca na deep e dark web - A deep e dark web são cenários onde o comércio ilegal dos dados das empresas ocorre. Nessas camadas mais profundas, é possível verificar os vazamentos, fraudes e usos criminosos que atingem as empresas e os consumidores.
Todas as menções fraudulentas da marca - Os usos indevidos de marca podem estar presentes em grupos criminosos de aplicativos de mensagens instantâneas de mensagens, como WhatsApp, Telegram, Discord. Além disso, é fundamental acompanhar também os serviços de paste como Ghotsbin, pastebin e grupos fechados no Facebook.
Os riscos estão em todos os lugares e os cibercriminosos estão prontos para utilizar as táticas mais ardilosas como ransomware para atacar as organizações.
Credenciais corporativas e acessos privilegiados: como funcionam e por que me preocupar?