“Aqueles que não conseguem lembrar o pretérito estão condenados a repeti-lo”, disse o filósofo George Santayana num dos aforismos mais citados do século XX.º século.
De concordância com um relatório da empresa de segurança Sophos que cobre dados globais de clientes do primeiro semestre de 2023, um princípio semelhante é aplicável em muitos ataques cibernéticos, mormente aqueles cometidos por ransomware.
O equivalente computacional de lembrar eventos é o registro, por meio do qual os eventos são registrados uma vez que dados em arquivos de texto simples que listam mensagens do sistema, erros de aplicativos e logins de contas.
Direcionando arquivos de log
Os arquivos de log têm sido um recurso da computação e da segurança cibernética desde o ano em que as redes parariam rapidamente sem as informações que fornecem.
Os cibercriminosos, é evidente, sabem disso, e é por isso que há muito tempo eles têm o hábito de atacá-los para exclusão. Expulsar ou adulterar um registo de log priva os defensores da capacidade de entender uma vez que os invasores obtiveram entrada a um sistema e o que fizeram depois disso.
É o primeiro tipo de registo que os invasores de ransomware terão uma vez que fim, com um bom exemplo atual sendo o MO do grupo de ransomware Rhysida, que se destacou em 2023 (veja um aviso recente da CISA sobre esse grupo para obter mais detalhes sobre as ferramentas usadas para conseguir isso).
Claramente, esta questão não é novidade e, no entanto, a Sophos descobriu evidências de que um quarto das organizações que foram atacadas não tinham os dados dos ficheiros de registo necessários aos analistas de incidentes para compreender o que aconteceu durante um incidente.
Isso é bastante inimaginável – vários sistemas geram arquivos de log relevantes, logo, para não ter nenhum, é preciso qualquer trabalho. Separadamente, em 39% dos ataques os ficheiros de registo foram “limpos” (principalmente através da eliminação totalidade), enquanto em 42% dos casos o software de segurança também foi desativado, o que inevitavelmente impede qualquer registo por segmento desses sistemas.
Uma vez que apontam seus pesquisadores, não é somente porque os registros estavam faltando ou incompletos em muitos ataques, mas também porque os defensores teriam que perder tempo procurando por eles em vão, muito uma vez que entender por que eles estavam faltando.
Escreve o CTO de campo da Sophos, John Shier:
“A falta de telemetria somente acrescenta tempo às correções que a maioria das organizações não pode remunerar. É por isso que o registo completo e preciso é importante, mas vemos que, com demasiada frequência, as organizações não têm os dados de que necessitam.”
Correlacionando pistas
Tudo isso são más notícias para quem está tentando impedir o ransomware. Uma das defesas mais importantes contra o ransomware é a reciprocidade de dados, que relaciona eventos separados entre si para fabricar uma imagem de que alguma coisa incomum está acontecendo.
Isso depende muito de arquivos de log mantidos centralmente, de preferência dentro de uma plataforma SIEM integrada que combina vários logs em uma única visualização. Mas isso se torna discutível se não houver zero para correlacionar.
Nem tudo isso depende dos invasores. Às vezes, as organizações temem ser inundadas por dados de log de endpoints e não coletam dados suficientes. Ou talvez eles coletem, mas não façam backup com diligência suficiente.
Seja qual for a justificação raiz, tentar tutelar uma organização contra ransomware sem a evidência de arquivos de log é uma vez que encaminhar em uma pista escura com os faróis do carruagem desligados.
