Acesso negado. Refém de um resgate digital: a batalha de uma cidade contra o crime cibernético

A cidade nesse caso teve sorte. A equipe de segurança detectou o ataque logo após ele ter começado, de modo que foi possível isolar o segmento de rede afetado para limitar os danos. 

Embora o departamento onde o ataque começou tenha precisado voltar ao que eles chamaram de "trabalho à moda antiga", ou seja, sem tecnologia, os demais departamentos conseguiram escapar praticamente ilesos. Ainda assim, a recuperação levou semanas, com um tempo de inatividade que tornou indisponíveis os serviços essenciais que o departamento presta à comunidade.

Como o invasor obteve acesso à rede da cidade? A análise forense mostrou que o invasor conseguiu usar uma conta de fornecedor comprometida (lembra do cara do HVAC?) para utilizar a VPN da cidade para acessar um ponto de extremidade do sistema HVAC. Uma vez conectados, os hackers foram capazes de coletar credenciais privilegiadas para obter permissões mais elevadas e usar o computador da vítima para mover-se lateralmente pela rede. 

Infelizmente, essa é uma ocorrência comum. Violações de dados e ataques de ransomware geralmente começam com o comprometimento de credenciais de acesso de fornecedores. Invadir fornecedores pode ser uma proposta lucrativa para grupos de ransomware, já que ao comprometer uma única organização, eles podem obter credenciais de acesso a vários alvos.

Embora esse método de acesso pareça estar se tornando bastante comum recentemente, ele não é a única porta de entrada. Tradicionalmente, os dois principais vetores de infecção de ameaças de ransomware são os e-mails de phishing e os ataques ao protocolo de desktop remoto.

O phishing ainda é muito eficaz, pois a tecnologia tornou os e-mails de phishing cada vez mais difíceis de identificar. Até mesmo profissionais experientes podem ser enganados por algumas dessas mensagens bem elaboradas que parecem autênticas. Ficaram para trás os tempos dos golpes mal redigidos do "príncipe nigeriano".

Por algum motivo, algumas organizações ainda não perceberam que deixar conexões de protocolo de desktop remoto abertas para a internet é uma péssima ideia. Os invasores encontrarão essas conexões rapidamente e usarão força bruta para invadir o sistema. E, assim que conseguirem, um pedido de resgate certamente será feito. 

Os agentes mal-intencionados também podem entrar usando métodos consagrados, como engenharia social, roubo de credenciais e deixando pen drives comprometidos espalhados por aí.

O ransomware evoluiu radicalmente ao longo da última década, mudando de simples malware de bloqueio de arquivos (mais conhecido como cryptolockers) para ataques sofisticados projetados para maximizar o impacto e os lucros. Antigamente, os invasores que usam ransomware criptografavam os arquivos de uma vítima em um único sistema, exigindo pagamento em troca de chaves de descriptografia. 

Isso evoluiu para um comprometimento de redes inteiras, incluindo sistemas de backup e recuperação, para limitar a capacidade de recuperação de uma vítima.  Com o tempo, as organizações começaram a melhorar sua postura de cibersegurança, incluindo backups mais robustos, o que reduziu significativamente o impacto de ataques baseados em criptografia.

O que um pobre malfeitor deveria fazer? Havia muito dinheiro apostado, não dava para abandonar o jogo. Em vez disso, os cibercriminosos se adaptaram incorporando novas soluções de ransomware, dando origem à era de um novo tipo de ransomware chamado "extorsão dupla".

O ransomware de extorsão dupla é um tipo único de infecção que envolve duas ameaças distintas: a criptografia dos dados críticos e a exfiltração dos arquivos criptografados, com a ameaça de divulgar publicamente informações confidenciais caso o resgate não seja pago. 

Essa tática aumentou drasticamente a pressão sobre as vítimas porque fez com que os ataques de ransomware deixassem de ser uma preocupação principalmente operacional para se transformarem um sério risco de violação de dados com possíveis implicações legais, regulatórias e de reputação. 

Esse foi o caso de nossos amigos que trabalham para a cidade. Antes de iniciar a fase de criptografia do ataque, o grupo de ransomware exfiltrou vários gigabytes de dados e ameaçou vazar essas informações na dark web caso suas exigências não fossem atendidas.

É nesse momento que as coisas ficam complicadas. Todos os níveis de forças de segurança, desde as autoridades locais até o FBI, a CISA e outros, aconselharão você a não pagar a demanda de resgate. Você receberá o mesmo conselho de praticamente todos os profissionais de segurança, incluindo de provedores de sistemas operacionais, como a Microsoft, e fornecedores de antivírus/antimalware. 

O motivo dessa orientação é simples: enquanto as organizações continuarem a pagar, os cibercriminosos continuarão a realizar ataques cibernéticos. Após o pagamento (feito em Bitcoin ou outra criptomoeda), não há garantia de que a chave de descriptografia será entregue, nem de que o programa de descriptografia funcionará, e muito menos que você não será um alvo novamente. 

Na verdade, acontece justamente o contrário: o invasor provavelmente ainda mantém um acesso ativo ao seu ambiente, e, como você já pagou uma vez, há uma boa chance de que acabe pagando novamente. 

Várias organizações de segurança relatam que cerca de 78% das organizações que pagam uma demanda de resgate são alvo novamente. Então, é só não pagar o resgate, certo? Na prática, não é tão simples assim. Dependendo da gravidade do ataque, uma organização pode não conseguir se recuperar sem pagar. 

Se o invasor puder acessar os backups, eles certamente serão criptografados (o ataque começará com os backups). Sem eles, a infraestrutura não pode ser restaurada. Mesmo que existam backups viáveis, muitas organizações têm dificuldades com o custo e o tempo de reconstruir tudo desde o início. 

Em organizações maiores, os custos de reconstrução e restauração de seus ambientes podem superar muito o preço de resgate. Nesses casos, elas não podem se dar ao luxo de NÃO pagar. 

Além disso, o fator tempo não pode ser ignorado. A restauração pode levar semanas ou até meses. Enquanto isso, os serviços essenciais dos quais os usuários da organização dependem ficam indisponíveis. A pressão para restaurar esses serviços pode ser imensa. 

O processo de restauração é apenas metade da história. Conforme discutido acima, a maioria dos gangues de ransomware agora está usando malware de extorsão dupla. Elas roubam todos os dados primeiro e depois os criptografam. 

As organizações acabam enfrentando a ameaça de ter informações confidenciais expostas para todos verem. O resultado seria um dano à marca da organização, perda de confiança e possíveis multas ou outras penalidades. Uma vítima pode ser multada por não cumprir as leis de privacidade e, em seguida, também ter que fornecer monitoramento de crédito a pessoas cujas informações foram roubadas na violação.

Adicione esses custos ao que a vítima já pagou pela restauração e o resultado pode ser um pesadelo financeiro. Em alguns casos, os resultados são catastróficos e a organização simplesmente não consegue se recuperar do ataque. 

Em 2022, o Lincoln College, em Illinois, foi forçado a fechar permanentemente devido a um ataque de ransomware. Já enfrentando dificuldades financeiras devido à pandemia da COVID-19, a faculdade não conseguiu pagar o resgate, e sua falta de preparo e de um plano de resposta a incidentes impediu qualquer ação eficaz de remediação. 

Como resultado, a instituição foi forçada a fechar suas portas após 157 anos de operação, um resultado de cortar o coração.

Em última análise, um pagamento de resgate se torna uma decisão de negócios. Alguns dos fatores que pesam sobre essa decisão são:

• Quais são os impactos comerciais por não pagar?

• Quais são os impactos comerciais se os dados exfiltrados vazarem?

• Os sistemas serão recuperáveis se o resgate não for pago?

A cidade retratada em nossa história não pagou o invasor. Eles conseguiram negociar com a gangue de ransomware e reduzir significativamente o valor do resgate. Eles tiveram a sorte de contar com a capacidade de recuperar seus sistemas comprometidos e não dependeram da chave de descriptografia. 

No entanto, eles tinham que informar um grande número de pessoas que suas informações tinham sido comprometidas e oferecer um serviço de monitoramento de crédito a todos os afetados. Dito isso, os resultados poderiam ter sido muito piores.

Ainda está preocupado? É compreensível. É assustador só de pensar em ser vítima de ransomware. Mas isso não tem que tirar o seu sono. Ter um plano e preparar-se com antecedência pode diminuir a gravidade de um ataque de ransomware ou até evitar um ataque completamente. 

Estas são algumas estratégias que você pode colocar em prática imediatamente:

• Backups de dados

• Firewalls de DNS

• Segmentação

• Acesso Zero Trust a aplicações

Assegure-se de ter uma excelente estratégia de backup de dados (boa não é suficiente nesse caso). É fundamental garantir que você tenha várias cópias dos seus backups, e, idealmente, pelo menos uma delas deve estar isolada, para que os invasores não possam acessá-la. Esse é um dos primeiros alvos de um ataque, por isso, certifique-se de que o agente de ameaças não consiga encontrá-lo. 

Não se esqueça de praticar a restauração. Os backups de dados são necessários, mas se você não souber como restaurar seus sistemas, é será quase tão ruim quanto não ter backups. Prepare-se para restaurar tudo, especialmente suas aplicações essenciais, dados confidenciais e infraestrutura.

Os e-mails de phishing são o vetor de infecção mais comum de ransomware. Tente o quanto quiser, mas você não conseguirá impedir as pessoas de clicar em links de phishing e outros links maliciosos. No entanto, você pode minimizar o impacto. 

Quando alguém clica em um link ou abre um anexo malicioso, seu sistema faz uma pesquisa de DNS pelo domínio mal-intencionado. Um firewall de DNS pode bloquear a resolução do domínio mal-intencionado e não permitir que ele funcione. Um firewall de DNS pode bloquear solicitações de conexão semelhantes a domínios de malware conhecidos e à infraestrutura de comando e controle. 

O Secure Internet Access da Akamai é uma ótima opção de firewall de DNS. As equipes de pesquisa de ameaças da Akamai usam algoritmos avançados para bloquear proativamente a resolução de domínios maliciosos, e a solução ainda conta com proteção de dia zero contra phishing. 

E fica ainda melhor para a comunidade de governos estaduais, locais, tribais e territoriais (SLTT). Uma versão gratuita do Secure Internet Access está disponível para membros do MS-ISAC por meio de seu serviço de MDBR (Malicious Domain Blocking and Reporting). 

Para as organizações que precisam de ainda mais proteção, o Secure Internet Access está disponível na forma do MDBR+ oferecido pelo MS-ISAC, e o CIS CyberMarket oferece preços com grandes descontos para os membros do MS-ISAC que desejam comprar diretamente da Akamai.

A triste realidade é que não é uma questão de se uma violação de dados vai ocorrer, mas quando. Quando ocorre uma violação, qual é a capacidade do agente de ameaça de se mover lateralmente em seu ambiente para espalhar o software mal-intencionado? 

Ter uma segmentação bem implementada é essencial para controlar o movimento lateral. A segmentação básica é útil, mas os resultados ainda podem ser devastadores. 

Mencionei que a cidade conseguiu desconectar o segmento afetado de sua rede do restante dos departamentos. O invasor ainda pôde lançar um ataque de ransomware devastador. Os serviços de missão crítica para a cidade ficaram offline por um longo período, resultando em grandes custos financeiros e danos à reputação da marca. 

Os métodos tradicionais de segmentação usam controles de Camada 2 e Camada 3 na forma de VLANs, controles de firewall e listas de controle de acesso. Uma abordagem mais eficaz é a microssegmentação. Usar uma abordagem baseada em software permite controlar a segmentação no nível do host, o que ajuda a conter ainda mais a extensão dos danos em caso de comprometimento. 

O Akamai Guardicore Segmentation é líder nesse espaço. O Akamai Guardicore Segmentation é uma solução de firewall baseada em host que oferece visibilidade de todo o tráfego de rede em seu ambiente, permitindo que você veja não apenas "quem está falando com quem", mas "o que eles estão falando". 

Isso significa que além de podermos ver quais dispositivos estão se comunicando entre si, também podemos obter informações contextuais ricas da Camada 7 sobre os processos que estão sendo executados em cada sistema. 

Essa visibilidade permite criar políticas que permitam apenas que as comunicações necessárias para sua rede e suas aplicações funcionem da maneira que eles precisam. Tudo o que não for especificamente autorizado é bloqueado, de modo que, em caso de invasão, o invasor não consiga se mover lateralmente para outros sistemas nem executar processos que possibilitem a ele escalar privilégios. 

Essa abordagem baseada em software pode facilitar e acelerar a conclusão dos projetos de segmentação, resultando em posturas de segurança aprimoradas com ROI mais rápido.

Na nossa história sobre a cidade americana atingida por ransomware, o vetor de infecção foi uma conta de VPN comprometida. As VPNs já tiveram seu momento de glória, mas, no ambiente de ameaças de hoje, as organizações precisam de algo melhor. 

O acesso via VPN permite que o usuário entre na rede. Ou seja, se ele souber o que está fazendo, pode acessar qualquer coisa naquele segmento da rede, esteja autorizado para isso ou não. Como aprendemos, credenciais comprometidas podem levar a desastres. 

Uma abordagem melhor seria substituir VPNs por uma solução de acesso Zero Trust às aplicações. Esses produtos fornecem uma experiência de login único para os usuários, dando-lhes acesso apenas aos recursos de que precisam para fazer seu trabalho e nada mais. Os usuários não podem acessar nada que não tenham permissão de usar. 

O Enterprise Application Access da Akamai é uma ótima opção para esse requisito. Nosso serviço de proxy com reconhecimento de aplicações fornece uma experiência de acesso contínuo a aplicações, independentemente de onde a origem delas reside ou de onde o usuário está acessando os recursos. O Enterprise Application Access também pode ajudar a lidar com aquelas incômodas sessões de protocolo de desktop remoto que você ainda não conseguiu tirar da internet. Você pode até mesmo provisionar as sessões de protocolo de desktop remoto e SSH para serem acessadas por meio do navegador da web, o que é perfeito para o acesso fornecedores terceiros.