Resposta a Incidentes nos EUA: o que rolou no último ano

Durante a última RSAC , que acabou de acontecer, tive o prazer de assistir uma apresentação de um ídolo, Kevin Mandia, o fundador da Mandiant. Quando comecei a Ventura ERM no final de 2015 minha inspiração era 100% a Mandiant (part of Google Cloud) , com a visão de criar “uma Mandiant brasileira”. (Estamos ainda distante desse objetivo mas certamente não estamos tão longe como em 2015!).

Segue abaixo o que acredito que foram os principais destaques da palestra de Kevin, daquilo que julgo ser relevante para nossos clientes da Ventura e toda minha rede profissional.

Principais causas-raízes de incidentes de Ransomware

Kevin disse que Mandiant tem observado algo nesses últimos 12 meses que há muitos anos não se via nessa (pelo menos nessa magnitude), que é a tentativa contínua e massiva, por gangues de ransomware, de tentar milhões de combinações de senhas para credenciais específicas, ou seja, o tão conhecido “brute-force”.

As próximas razões do ranking – e ele deixou bem claro que isso é nas ocasiões onde foi possível chegar na causa raiz – foram vazamento de credenciais e exploração de vulnerabilidades.

Nós aqui na Ventura também observamos um pouco de brute-force, mas nem de perto o tanto quanto vimos de incidentes onde o atacante já tinha usuário e senha conhecido, sem errar a senha sequer uma vez!

Um ponto interessante sobre exploração de vulnerabilidades na apresentação: ele disse que está cada vez mais difícil ver a utilização de “0-days”, ou seja, exploração de vulnerabilidades que não se tornaram públicas, por essas gangues. O mais comum e habitual – tal qual também observamos aqui na Ventura – é a causa raiz ser a exploração de uma vulnerabilidade onde o software atacado já tinha patch (atualização) disponibilizado pelo fabricante - porém ainda não aplicado pela instituição vítima. Ou seja, nota-se tanto nos EUA quando no Brasil ainda forte deficiência em programas de gerenciamento de patches (patch management).

Principais causa-raízes (todos os incidentes)

A Mandiant é muito conhecida por atuar em incidentes de espionagem, desde que publicamente divulgou seu tão conhecido relatório APT-1, quando alegadamente “expôs” como operações militares chinesas eram responsáveis por campanhas de intrusão e espionagem, por meses e até mesmo anos, em vítimas americanas do setor privado, principalmente empresas que geram e detém grande carga de propriedade intelectual.

Nesse sentido, quando colocado no mesmo “balde” todo e qualquer tipo de ataque que as centenas de profissionais dessa empresa atuam no dia a dia (o que na Ventura catalogamos entre ransomware, furto de propriedade intelectual, espionagem e vandalismo), temos em primeiro lugar a exploração de vulnerabilidades, em segundo lugar a utilização de credenciais vazadas e em terceiro lugar o tão conhecido phishing.

Na Ventura tivemos uma percepção parecida, no entanto, no cenário brasileiro, quando colocados no mesmo balde todos os incidentes em que atuamos, entra aí um “inimigo” que só aparece em último lugar no quadro de Kevin, que é o “Insider”. Infelizmente – e talvez até mesmo por uma questão cultural – aparentemente é muito mais comum incidentes com a cooptação de colaboradores (ou até mesmo iniciativas “empreendedoras” de enriquecimento ilícito de alguns profissionais que traem a confiança de seus empregadores) no Brasil que nos EUA. <-- Esse item, por si só, dá um artigo inteiro só para ele! 🤓

Ferramentas de ataque mais vistas

Esses dias eu me peguei explicando para um cliente que justamente a solução de segurança que ele gastava centenas de milhares de reais por ano (licença de software) para proteção da corporação tinha sido atacada pelos cyber criminosos para viabilizar a entrada deles – detalhe: com privilégios administrativos – na rede da companhia.

Começamos a notar a exploração de produtos de segurança há uns 3 anos e isso tem se demonstrado cada vez mais frequente nas ocasiões que conseguimos chegar na comprovação da causa raiz.

Pois bem, visivelmente isso também se observou nos EUA, como pode ser visto abaixo:

Ou seja, pensem comigo: se já é difícil defender budget para contratação de software de segurança para tentar mitigar ataques contra toda a infraestrutura da companhia, imagine então quando os atacantes começam a explorar – de maneira numerosa – vulnerabilidades nesses próprios softwares?

Pois bem, recentemente tivemos que explicar para o conselho de uma grande empresa exatamente isso:

-"Lembra aquele software caríssimo de segurança que compramos 2 anos atrás? Que compramos para aumentarmos a proteção da empresa? Compramos e ele carregava uma vulnerabilidade, que permitiu a entrada de invasores."

-"Mas e se não tivéssemos comprado esse software, seríamos invadidos?"

-"Por essa causa raiz especificamente não, mas muito provavelmente por outra porque há gaps de atualização em muitos outros pontos no parque".

Em outro caso - também de exploração vulnerabilidade em software de cyber segurança como causa raiz comprovada num incidente de ransomware - tivemos um belo desafio ombro a ombro com o jurídico do nosso cliente sobre a tentativa de nos indenizarmos do incidente parenta o fabricante do produto de segurança, mas vocês já podem imaginar as dificuldades naquele “contratão padrão” da licença de uso do software, né?

Enfim, o resumo é que, salvo algumas diferenças culturais e de gangues específicas (já que, pelo menos na nossa experiência, gangues de cyber criminosos brasileiros tendem a focar seus esforços em vítimas brasileiras, principalmente dentro do Sistema Financeiro Nacional), os bandidos estão cada vez mais estruturados, automatizados (lá vem a IA!) e seguindo uma mesma cartilha profissional de ataque.

E o lucro deles? Só aumenta, claro! Por isso, não há outra: shields up!

Para ver esta postagem no LinkedIn clique aqui