O conflito entre Rússia e Ucrânia levanta uma questão importante de cibersegurança.
Há um mês a Ucrânia vem sendo atacada pela Rússia, sem nenhuma previsão de cessar fogo ou de propor acordo entre as partes. Enquanto isso, diversos países vêm aplicando sanções contra a Rússia, empresas deixam de operar no país como forma de retaliação e grupos hackitivistas que não apoiam as ações russas lideradas por Putin tentam, de várias formas, retaliar o país e as empresas que ainda mantém negócios operando por lá.
O que é hacktivismo?
Hacktivismo é a junção de duas palavras, Hack e Ativismo. É o ato de usar conhecimentos de hacking com motivações políticas, sociais e/ou ideológicas para acessar sistemas, vazar informações confidenciais, realizar pichação em sites de empresas que são alvos de movimentos ou causas de um grupo ou indivíduo. Alvos mais comuns de grupos hacktivistas são agências governamentais, corporações multinacionais ou qualquer outra entidade ou pessoa de poder percebida como ruim, errada ou injusta.
A maioria dos grupos hacktivistas quer permanecer anônima. Alguns deles são mundialmente reconhecidos e adotaram um acrônimo como seu nome, como os grupos Cult of the Dead Cow, Anonymous, WikiLeaks, LulzSec, DkD[|| e Syrian Electronic Army.
Rússia e Ucrânia – guerra híbrida
Quando pensamos em guerra, logo imaginamos tanques, aviões soltando bombas e soldados correndo para o combate. Na guerra híbrida, um novo componente passa a fazer parte do combate: o ataque cibernético coordenado.
A guerra cibernética ataca a infraestrutura crítica de uma nação e de todos aqueles que não se opõem ao invasor, sendo os alvos computadores ou redes de informação que, ao serem atacados, interrompem o fluxo de informação ou comunicação.
Na guerra atual, um segmento é a retaliação de grupos hacktivistas contra empresas que ainda operam no país invasor. O grupo Anonymous destaca-se nesse cenário, compartilhando em suas mais variadas contas em redes sociais campanhas contra essas empresas. Muitos ao redor do mundo juntaram-se ao movimento e fizeram listas de organizações ameaçando atacá-las. A ideia é causar disrupção de serviços, vazamento de dados confidenciais, entre outros métodos.
ANONYMOUS
O Anonymous atua de duas formas distintas. A técnica mais comum em seus ataques é identificada como DDoS, sigla que significa Ataque de Negação de Serviço (MITRE – T1499.002). Na prática, isso significa que o Anonymous infecta diversos dispositivos ao redor do mundo com uma Botnet e, após ter um número considerável de “dispositivos zumbis”, eles redirecionam uma carga de tráfego extremamente alta com o objetivo de retirar a plataforma alvo do ar, realizando, assim, uma negação de serviço, já que os usuários não conseguirão ter acesso àquele recurso. Por exemplo, no caso de Minnesota, o site da polícia local foi derrubado por esta mesma técnica.
Outro movimento dos ativistas é vazar informações de seus alvos (MITRE – TA0010). Eles aproveitam-se de vulnerabilidades conhecidas, exploram a falha de segurança e realizam a movimentação lateral (MITRE – TA0008) na rede da vítima, com o objetivo de detectar um ativo que contenha dados sensíveis, para que, assim, possam cumprir seu objetivo tático.
O Anonymous utiliza a internet para recrutar e treinar novos recrutas, realizar reconhecimento de forma passiva de alvos em potencial, além de explorar vulnerabilidades encontradas em sistemas expostos à internet, para então executar novamente a técnica de negação de acesso a recursos. Além disso, já é comumente conhecido o ato de alterar informações apresentadas por organizações em seus sites. Essa técnica é conhecida como Defacement (MITRE – T1491). E, após anunciar que seus objetivos foram concluídos, eles realizam a publicação de informações confidenciais.
Apesar da pouca publicação dos artefatos forenses deixados para trás pelo Anonymous, seu sucesso nas execuções de suas operações e na obtenção de atenção da mídia até o momento é um indicador de que o grupo está no mesmo nível de incidentes de complexidade alta e, por conta dessas características,
podemos supor o envolvimento de ameaças sofisticadas, comumente chamadas de “Ameaças Persistentes Avançadas” (APT) (Catálogo de Grupos APT, pelo MITRE).
Estas são ameaças que contém recursos quase infinitos, pois supõe que eles contêm o apoio de sua Nação, sendo geralmente catalogadas como Ameaças de Estado-Nação. E, por terem essa quantidade de recursos, eles podem ficar meses ou mesmo anos planejando seu ataque de forma persistente, até conseguir alcançar seus objetivos.
O grupo Anonymous e seus grupos associados orgulham-se de serem experientes em “mídia social” e usam rotineiramente fóruns como Twitter, Facebook e páginas web públicas para anunciar alvos pretendidos, resultados de ataques em andamento, e postar arquivos roubados das redes das vítimas. Esses anúncios podem oferecer para aqueles que estão encarregados de defender suas organizações a oportunidade de complementar proativamente suas defesas e conscientizar os gerentes, funcionários e parceiros. Por exemplo, nota-se que houve uma quantidade significativa de técnicas de reconhecimento (MITRE – TA0043) antes da exploração em si. Também é recomendado que as entidades do setor público e privado sigam as mesmas etapas que os adversários fariam para determinar a extensão da superfície de ataque disponível para um adversário.
Ao utilizar o Twitter como fonte de informação, algumas hashtags são recomendadas:
#OpRussia | #FreeUkraine | #Anonymous | #StopFundingRussia |
#PullOutOfRussia | #StandWithUkraine | #UkraineRussianWar | #BloodyTrade |
Conclusões
Independente de guerras ou situações políticas que desencadeiem ataques cibernéticos, é de extrema importância para as organizações estarem cientes de suas respectivas superfícies de ataques. Ter ciência de seu perímetro, suas possíveis vulnerabilidades e sua exposição de dados e informações auxilia de maneira fundamental na construção de planos de ação para mitigação de qualquer possível falha. Além disso, planos de resposta a incidentes e recuperação de desastre devem ser constantemente testados e devem estar atualizados, no caso de algum incidente não mitigado e detectado na infraestrutura.
Diante do cenário atual, recomenda-se que empresas com relações e negócios na Rússia redobrem sua atenção com sua infraestrutura. É possível que retaliações sejam feitas, por isso, estar protegido em um momento crítico como esse é fundamental.
As recomendações a seguir são um complemento importante no combate a possíveis ataques e as lições aprendidas de incidentes anteriores ocorridos globalmente também devem ser levadas em consideração.
Recomendações
1. Mantenha backups de dados criptografados e offline e teste-os com frequência. Os procedimentos de backup devem ser realizados regularmente. É importante que eles sejam mantidos offline, pois muitas variantes de ransomware tentam localizar e excluir ou criptografar backups acessíveis.
2. Crie, mantenha e execute um plano básico de resposta a incidentes cibernéticos, um plano de recuperação e um plano de comunicações associado:
- O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware. Recomendamos o CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide para obter mais detalhes sobre a criação de um plano de resposta a incidentes cibernéticos.
- O plano de recuperação deve abordar como operar se você perder o acesso ou o controle de funções críticas. A CISA oferece avaliações de resiliência cibernética sem custo e não técnicas para ajudar as organizações a avaliar sua resiliência operacional e práticas de segurança cibernética.
3. Mitigar vulnerabilidades e configurações incorretas de serviços voltados para a Internet para reduzir o risco de atores que exploram essa superfície de ataque:
- Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. Os atores da ameaça geralmente obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente, propagam o ransomware;
- Audite a rede para sistemas usando RDP, portas RDP fechadas não usadas, aplique bloqueios de conta após um número especificado de tentativas, aplique autenticação multifator (MFA) e registre tentativas de login RDP;
- Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A CISA oferece uma variedade de serviços de higiene cibernética gratuitos, incluindo varredura de vulnerabilidade, para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição a ameaças cibernéticas, como ransomware. Tirando proveito desses serviços, as organizações de qualquer porte receberão recomendações sobre maneiras de reduzir seus riscos e mitigar vetores de ataque;
- Atualize o software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Priorize a correção oportuna de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet – bem como software de processamento de dados da Internet, navegadores da web, plug-ins de navegador e leitores de documentos. Se a correção rápida não for viável, implemente as atenuações disponibilizadas pelo fornecedor;
- Certifique-se de que os dispositivos estejam configurados corretamente e os recursos de segurança ativados; por exemplo, desativar portas e protocolos que não estão sendo usados para uma finalidade comercial;
- Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative as versões desatualizadas do SMB.
4. Reduza o risco de e-mails de phishing chegarem aos usuários finais:
- Habilitando filtros de spam;
- Implementando um programa de conscientização e treinamento do usuário de segurança cibernética que inclua orientação sobre como identificar e relatar atividades suspeitas (por exemplo, phishing) ou incidentes.
5. Utilize as melhores práticas disponíveis de segurança cibernética:
- Garanta que todos os softwares antivírus, antimalwares e assinaturas estejam atualizados;
- Implemente a lista de permissões de aplicativos (application allowlisting);
- Garanta que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de contas, controle de contas de usuários e gerenciamento de contas com privilégios;
- Empregue MFA para todos os serviços que forem possíveis, especialmente para webmail, redes privadas virtuais (VPNs) e contas que acessam sistemas críticos.
Referências
- Mitre Att&ck
- Checkpoint
- Norton