Passe qualquer tempo estudando as divulgações oficiais de ataques cibernéticos e duas palavras que surgem com impressionante regularidade são “sofisticado” e “direcionado”.
Todo ataque é considerado sofisticado, assim uma vez que todo ataque é direcionado ou mesmo altamente direcionado. Estes termos têm sido um elemento geral em comunicados de prensa e divulgações regulamentares desde que os incidentes de ataques cibernéticos (geralmente violações de dados) começaram a tornar-se mais frequentes há murado de 15 anos.
Se houve um tempo em que a elevação entre um ataque cibernético geral e alguma coisa mais desenvolvido ou inteligente parecia uma elevação razoável, esse momento já passou há anos. Hoje, todos sabem que estas palavras são muitas vezes uma forma de orientação verbal errada, uma tentativa de minimizar as falhas de segurança. Se cada ataque apresenta elementos de sofisticação e direcionamento, declarar isso torna-se sem sentido.
Pior ainda, descrever ataques cibernéticos uma vez que o ransomware uma vez que sofisticados e direcionados muitas vezes é falso. Na verdade, muitos ataques de ransomware muitas vezes não são muito sofisticados e até exploram pontos fracos básicos que são comuns o suficiente para serem melhor descritos uma vez que totalmente previsíveis.
Voltar à rotina
Isto leva-nos à recente divulgação invulgar da empresa norte-americana BHI Energy. A equipe de segurança da empresa detectou um ataque de ransomware em 29 de junho posteriormente perceber que os dados haviam sido criptografados em sua rede.
Enviada ao escritório de notificações de violação do estado de Iowa (mas tornada pública pelo site de notícias Bleeping Computer), a missiva revela que os invasores – identificados uma vez que a gangue de ransomware Akira – foram posteriormente descobertos uma vez que tendo obtido chegada inicial aos sistemas da empresa um mês antes, em 30 de maio.
Em seguida, descreve as fraquezas incrivelmente simples que permitiram ao ator da ameaço (TA) lucrar uma posição segura:
“O chegada inicial do TA foi conseguido usando uma conta de usuário previamente comprometida de um contratante terceirizado. Usando a conta desse contratante terceirizado, o TA alcançou a rede interna do BHI por meio de uma conexão VPN.”
O resultado não foi feliz:
“O TA finalmente exfiltrou 690 gigabytes de dados entre 20 de junho de 2023 e 29 de junho de 2023, incluindo uma traslado do banco de dados do Active Directory do BHI.”
Fraquezas Comuns
Fraqueza nº 1: uma conta comprometida. Esta é, obviamente, a maneira mais provável de os invasores iniciarem qualquer intrusão, porque contorna camadas inteiras de segurança e permite que os invasores se façam passar por um usuário legítimo.
Fraqueza nº 2: esta conta foi usada por um terceirizado, exatamente o tipo de conta que os defensores esquecem e não conseguem monitorar facilmente se há comprometimento.
Fraqueza nº 3: Não é de surpreender que os prestadores de serviços acessassem a rede por meio de uma conexão VPN, alguma coisa que também torna o monitoramento mais reptante se for confiável por padrão.
Todos os três são problemas comuns que surgem em muitos ataques de ransomware, incluindo a verosimilhança de a conta do contratante não ter sido defendida com autenticação de fator mufti (MFA). O que eles são não é particularmente sofisticado técnicas ou principalmente direcionado.
As palavrassofisticado e visadas não apareça em nenhum lugar da notificação. É verdade que esta é uma notícia solene e não um enviado de prensa público, mas é uma leitura refrescante e prática.
Não se esconde
O que a BHI Energy não está a tentar fazer cá é esconder-se detrás da teoria de que o ataque cibernético que sofreu foi tão inteligente que de alguma forma foi inevitável. Pelo contrário, está a comportar falhas, daí a lista de medidas que afirma ter tomado desde logo para impedir que o ataque volte a suceder.
É uma pena mais não seguir esse exemplo. Desculpas e evasão minam a crédito, aquilo de que se alimentam os ataques cibernéticos.