06_Imagem_de_capa

Um ano de ciber-ataques

Conheça cinco das mais interessantes violações que ocorreram em 2020.

O trabalho remoto é frequentemente citado como uma das principais razões para o aumento do ciber-crime em 2020, mas está longe de ser o único desafio crescente para os CISOs da atualidade. Vamos deixar de lado o zoom-bombing, os golpes de phishing e o elo mais fraco dos dispositivos domésticos, e dar uma vista de olhos em 5 violações de segurança recentes e exclusivas e o que podemos aprender sobre como aumentar a eficácia dos testes de vulnerabilidades.

Middleware pode ser usado como “Recon”, ou como um “Stepping Stone”.

A Estee Lauder teve 440 milhões de registos expostos em fevereiro de 2020, muitos dos quais relacionados com middleware que a empresa usa internamente, como software de mensagens, serviços de aplicativos e gestão de API. O middleware pode ser o alvo final de um ataque, mas também pode ser usado como uma rota para injetar malware em qualquer outro lugar da rede, descobrindo informações sobre sistemas operativos ou caminhos de comunicação.

Quando o teste de segurança é limitado, geralmente concentra-se apenas nos pontos fracos dos aplicativos considerados como “joia da coroa”, de modo a que os pontos cegos e as lacunas na rede podem passar facilmente despercebidos. É importante reconhecer que mesmo o que à primeira vista parece informação "sem importância" pode ser usada como um trampolim para movimento lateral ou reconhecimentos de rede.

As ferramentas de segurança locais são um alvo?

A FireEye revelou em dezembro que eles se tornaram vítimas de um ataque de Estado-nação. Eles descreveram a violação como diferente de qualquer uma das dezenas de milhares de ataques aos quais responderam nos últimos 25 anos, mostrando que novos métodos de ataque, ou combinações de métodos de ataque, estão constantemente a aparecer. As ferramentas de teste de penetração e formação de equipas vermelhas da FireEye foram alvejadas e roubadas durante o ataque, as mesmas que a empresa usa para testar as suas redes de clientes. Estas ferramentas ainda não foram divulgadas ou utilizadas noutro lugar, mas podem ser usadas para descobrir vulnerabilidades contra alvos futuros ou simplesmente expostas como um meio de desacreditar a FireEye diretamente.

Um apelo à ação de reforçar as credenciais.

Um ataque ao Wishbone no início deste ano (a segunda violação de dados em grande escala que a empresa sofreu desde 2017) colocou as credenciais em destaque. 40 milhões de registos foram expostos no ataque, incluindo o número de telemóveis, datas de nascimento, detalhes de contas do Facebook e Twitter e senhas também. Essas senhas não eram “simple-text”, mas MD5 com hash, um algoritmo considerado “criptograficamente violado” desde 2010, o que funcionou como um “reminder” para as organizações que devem manter atualizados os seus protocolos de segurança. Ao considerar uma plataforma como a Wishbone, que contém tantos registos privados que pertencem a menores, revisitar os processos de segurança para se certificar de que as políticas não estão desatualizadas é mais essencial do que nunca.

As empresas que contam com plataformas de “scan” de vulnerabilidades, devem ter atenção: É importante que se concentrem em como os invasores podem aceder aos dados, mas também na atenuação atualizada e priorizada para proteger as credenciais caso sejam expostas. Nesse caso, utilizar ferramentas de token ou criptografar com segurança os dados poderia ter protegido os utilizadores impedido a fuga de dados e a sua disponibilização na Dark Web.

Testar o modelo de responsabilidade partilhada.

Apenas 10% dos consumidores sentem que têm controlo sobre os seus dados pessoais. Fuga de dados, como o exemplo recente da empresa de fitness VShred, explicam o porquê. Descobriu-se que a empresa expôs um intervalo AWS contendo as PII de dezenas de milhares de utilizadores, incluindo fotos confidenciais “antes e depois”, números de segurança social, nomes de utilizadores, senhas e muito mais.

Perigosamente, a resposta da empresa sugeriu que eles não sabiam que os utilizadores podiam navegar e aceder a essas informações anonimamente e que tinham intencionalmente mantido estas informações públicas para que os utilizadores pudessem baixar o conteúdo, como se tratasse de um plano engendrado com antecedência. 

Mesmo as pequenas empresas precisam de ser capazes de mostrar que estão a proteger os dados dos seus clientes e a cumprir as leis de conformidade, como o GDPR, que exige avaliações de risco completas sobre armazenamento na nuvem, bem como uma política rígida sobre retenção da informação e políticas de acesso. 

Ransomware tem custos.

2020 foi um ano difícil para o Toll Group, com sede na Austrália, que foi vítima de dois ataques de ransomware em apenas três meses. O primeiro ataque criptografou arquivos essenciais para os negócios usando o ransomware MailTo, também conhecido como Netwalker. O segundo usou NetFilm, uma nova variante do Nemty, que se pensa ser distribuída via RDP exposto, e usa criptografia AES-128 para bloquear arquivos.

Quase nove meses depois, Toll ainda sente o impacto dos ataques, incluindo a tentativa de limitar os danos causados ​​pelos 220 GB de dados roubados, alguns dos quais expostos na Dark Web. Portanto, a empresa iniciou um programa de ciber-resiliência de 12 meses para fortalecer as suas defesas.

Como mais de 1.000 empresas consideram o ransomware um fator de risco para as suas organizações, 2021 pode muito bem ser o ano em que as equipas de segurança se tornarão proativas em relação aos riscos e vulnerabilidades baseados na rede, elevando a gestão de vulnerabilidades ao próximo nível em 2021

Estes 5 ataques são um lembrete importante para todas as equipas de segurança de que o nível de ciber-ameaças tem vindo a subir degraus. Como resultado, as nossas práticas de validação de segurança e emulação de ameaças devem ser mantidas. Uma lacuna foi criada nesta frente de validação de segurança, onde testes de intrusão periódicos ou manuais não podem avaliar o risco dessas ameaças, tanto na sofisticação quanto na amplitude dos ataques. As empresas precisam de procurar ferramentas que possam emular os ataques mais recentes de maneira segura para saber se estão preparadas. Esta é uma nova prática de validação contínua de segurança que precisa de ser adotada.

As tecnologias escolhidas devem oferecer suporte à gestão segura de um ambiente híbrido e fornecer dados inteligentes para apoiar e priorizar a mitigação para reduzir o risco e preparar as empresas para o caso de o pior cenário bater à sua porta.

Interessado em ver como a PenTera da Pcysys verifica todos estes pontos? Agende uma demonstração diretamente em: https://www.pcysys.com/request-a-demo/

Artigo traduzido e disponibilizado pela DigitalSkills Consulting - Distribuidora oficial de soluções de cibersegurança do fabricante Pcysys. Para mais informações: www.digitalskills.pt | [email protected] | 217 923 841.

Artigo original publicado aqui: https://blog.pcysys.com/a-year-in-cyber-attacks-5-of-the-most-interesting-breaches-of-2020 pela Diretora de Conteúdos da Pcysys Monica Givanati.