Black Hat Especialistas em segurança passaram anos alertando as empresas para esperarem ciberataques e planejarem suas defesas de acordo, agora Sophos pesquisadores estão dizendo que as organizações não devem se surpreender se forem atacadas várias vezes.
Em um relatório de 23 páginas lançado esta semana a tempo para Black Hat, os pesquisadores desvendam os múltiplos fatores que estão alimentando um aumento no número de entidades atingidas por mais de um ataque. Por exemplo, em um caso, uma empresa foi vítima de três ataques de ransomware ao longo de duas semanas.
“Nos últimos meses, notamos um aumento no número de número de casos em que as organizações foram atacadas várias vezes”, escreveu Matt Wixey, editor técnico principal e pesquisador sênior de ameaças da Sophos. “Alguns ataques ocorrem simultaneamente; outros são separados por alguns dias, semanas ou meses. Alguns envolvem diferentes tipos de malware ou infecções duplas – até triplas – do mesmo tipo.”
Parte disso cai aos pés das próprias organizações, que muitas vezes não conseguem lidar com vulnerabilidades e configurações incorretas após o primeiro ataque, abrindo a porta para ataques subsequentes, de acordo com o relatório.
Outros fatores são características de um ambiente de cibercrime em rápida evolução, com diferentes grupos de ameaças explorando vulnerabilidades de alto perfil como ProxyShell e Log4Shell, interdependência entre grupos, o aumento do ransomware-as-a- serviço e a crescente “coopetição” entre as gangues de crimes cibernéticos.
“Qualquer que seja a causa raiz, vários ataques podem ser devastadores para as vítimas”, escreveu Wixey. “Eles não apenas complicam os planos de remediação e continuidade de negócios, mas os impactos financeiros, reputacionais e psicológicos podem ser esmagadores. Justamente quando você pensa que o pior finalmente aconteceu – e agora você sabe com certeza que é ‘quando’ ‘se’ – você é atingido por outro ataque.”
Nos casos que as equipes de Detecção e Resposta Gerenciada e Resposta Rápida da Sophos investigaram recentemente, geralmente há um intervalo de cerca de seis semanas entre os ataques quando uma empresa é atingida várias vezes.
Na maioria dos casos, as causas principais de vários ataques são a falha em lidar com softwares ou vulnerabilidades de hardware e, após um ataque, não lidar com as configurações incorretas deixadas por ataques anteriores.
“Mas há um pouco mais de complexidade do que isso,” ele explica. “Muitas vezes, há uma sequência específica de exploração – os criptomineradores (um canário proverbial na mina de carvão) chegam primeiro, seguidos por construtores de botnet wormable (como Mirai), então sistemas de entrega de malware (webshells e/ou [remote access trojans]), que podem alimentam os dados dos agentes de acesso inicial (IABs) e, finalmente, ransomware.”
Os IABs fazem o que o nome sugere, obtendo acesso inicial aos sistemas comprometidos. Eles então vendem esse acesso a outros grupos de ameaças que o usam para lançar seus próprios ataques.
John Gunn, CEO do fornecedor de tecnologia de autenticação Token, disse
- : “As vítimas de ataques simultâneos terão menos probabilidade de pagar e podem não conseguir pagar um resgate completo a vários invasores. Como tal, você pode esperar que os IABs cobrem um prêmio pelos primeiros direitos ou direitos exclusivos para uma organização alvo.”Alguns deles são interdependentes, como os IABs que permitem ataques de ransomware. Outros coexistem, como criptomineradores e ransomware, que têm objetivos díspares e não interferem uns nos outros. Ao mesmo tempo, as organizações podem ser atingidas por vários ataques de ransomware porque esses grupos de ameaças geralmente não se importam se outros estão atacando a mesma empresa. Em um caso, a Sophos viu o mesmo invasor usando primeiro o ransomware Conti e depois o Hive com poucos dias de diferença contra a mesma vítima.
Em outro incidente em 1º de maio, depois que o acesso inicial foi obtido por meio do Remote Desktop Protocol (RDP) e Mimikatz foi usado para roubar credenciais, uma empresa foi atingida por um ataque de ransomware Lockbit. Menos de duas horas depois, um afiliado de ransomware Hive atacou a mesma empresa e duas semanas depois, a organização foi atacada pela terceira vez por um grupo de ransomware BlackCat.
- Cisco admite rede corporativa comprometida por quadrilha com links para Lapsus$
- Líder da equipe vermelha da meta privacidade: sua empresa conhece seus adversários de privacidade?
Boffins avaliam a segurança do pacote npm e PyPI e não é bom
- Ex-chefe da CISA Krebs pede EUA para levar a sério a segurançaTodas as três gangues usaram o mesmo servidor RDP mal configurado para obter acesso. Mais tarde, a Sophos encontrou alguns arquivos que foram criptografados por todos os três invasores, diz Wixey. nas organizações, de acordo com Peter Mackenzie, diretor de resposta a incidentes da Sophos.
“Provavelmente devido a um mercado cada vez mais lotado de agentes de ameaças, bem como ransomware-como -a-service (RaaS) tornando-se mais profissionalizado e reduzindo o nível de entrada”, disse Mackenzie em comunicado.
Coopetição é algo que as empresas querem ter em mente . Alguns operadores, como criptomineradores, incluem código em seu malware que removerá o malware competitivo dos sistemas que infectam. Outros, como grupos de ransomware, não estão preocupados com a concorrência e, às vezes, intencionalmente ou acidentalmente ajudam outros invasores, deixando backdoors abertos ou configurações incorretas para outros usarem.
Ao encerrar o ataque inicial, as empresas precisam garantir que nenhum código malicioso seja deixado para trás, de acordo com Wixey.
“Por mais estranho que possa parecer, poderíamos ver facilmente cenários em que o invasor ‘primeiro a entrar’ assume o papel de defender a rede da vítima contra ataques subsequentes, a fim de proteger sua capacidade de realizar todo o potencial de pagamento do resgate”, acrescenta Gunn.
A divulgação de grandes vulnerabilidades também cria uma espécie de corrida entre vários grupos de ameaças que procuram explorá-las. As falhas ProxyLogon e ProxyShell divulgadas no ano passado viram criptomineradores, RATs, botnets, malware “clipper” – que troca endereços de carteira criptográfica na área de transferência da vítima – e, eventualmente, ransomware tirando vantagem.
O mesmo padrão ocorreu depois que a falha do Log4Shell foi divulgada em dezembro de 2021 e a vulnerabilidade Atlassian foi detectada no mês passado, de acordo com a Sophos.
Destaca a necessidade de as empresas atualizarem tudo e priorizarem os bugs mais perigosos primeiro, escreveu Wixey. Isso significa focar em bugs críticos que afetam a pilha de software específica de uma organização e vulnerabilidades de alto perfil que podem afetar sua tecnologia.
As organizações também precisam garantir que as configurações incorretas sejam corrigidas, principalmente após um ataque.
“Operadores de criptomineradores, IABs e afiliados de ransomware sempre procuram portas RDP e VPN expostas e estão entre as listagens mais populares na maioria mercados criminosos”, escreveu ele. “Se você precisar de acesso remoto e/ou gerenciamento pela Internet, coloque-o atrás de uma VPN ou de uma solução de acesso à rede de confiança zero que use [multi-factor authentication] como parte de seu procedimento de login.”
