Interrompendo Ransomware e Movimento Lateral com Segmentação

Por Amit Serper

Se há algo que todos nós aprendemos durante a última década é que os ataques de ransomware estão aqui para ficar

Embora os ataques de ransomware tenham começado como ataques não direcionados a uma pessoa ou organização especificamente, hoje eles evoluíram para um negócio lucrativo que requer planejamento, gerenciamento de receita e conhecimento prático de hacking.

Como o Ransomware começou?

Se olharmos para trás, apenas alguns anos atrás, a maioria dos ataques de ransomware usava malvertising como seu vetor de penetração inicial, visando praticamente qualquer pessoa que carregasse esses anúncios maliciosos, seja o ‘José da contabilidade’ em uma grande empresa ou a avó de alguém tentando ler seus e-mails. O ransomware realmente não distinguia quem tinha como alvo – visava a todos e se essas vítimas pagassem – ótimo – e se não pagassem, estava tudo bem porque haviam muitos outros “peixes no mar”.

No entanto, tudo isso mudou em 2012 com o Shamoon ( please add this link https://www.nytimes.com/2012/10/24/business/global/cyberattack-on-saudi-oil-firm-disquiets-us.html), um ataque cibernético iraniano contra a corporação Saudi Aramco. O Shamoon permitiu que os invasores extraíssem grandes quantidades de informações da Aramco e, uma vez que a exfiltração foi feita, os invasores usaram o Shamoon para sobrescrever o Master Boot Record nas máquinas atacadas, tornando-as inúteis até serem reinstaladas. Isso foi responsável por causar uma quantidade substancial de tempo de inatividade para a empresa.

Como o Ransomware evoluiu?

Avancemos para 2017. WannaCry e NotPetya, dois ataques de ransomware devastadores, causaram estragos em grandes corporações e entidades governamentais – os mais notáveis ​​foram o NHS britânico (PLEASE ATTACH THIS LINK https://www.washingtonpost.com/news/worldviews/wp/2017/05/12/what-you-need-to-know-about-the-massive-hack-that-hit-britain-and-11-other-countries/ ) e o conglomerado marítimo MAERSK (PLEASE ATTACH THIS https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack/ ) , ambos totalmente desativados por WannaCry e NotPetya, respectivamente. A coisa única sobre esses ataques, além de mostrar como a Internet é frágil, é que esses ataques usaram vulnerabilidades de dia 0 (Zero Day) para se mover lateralmente entre computadores na rede de uma forma virulenta, infectando e tornando todas as máquinas que encontrou completamente inúteis. Muito foi escrito sobre NotPetya e WannaCry, mas sabemos hoje que os motivos por trás desses ataques estavam relacionados a ataques cibernéticos iniciados por um adversário de “estado-nação”.

Esses ataques de ransomware então começaram a ser usados ​​por grupos de crimeware, que até aquele ponto estavam principalmente focados no uso de malware como o Zeus (e todas as suas variantes) para violar contas bancárias de pessoas e desviar dinheiro. Essa costumava ser uma operação longa, complicada e arriscada – especialmente quando se tratava de realmente receber o dinheiro. Até agora, a crença predominante era que poderia ser mais fácil visar apenas grandes corporações e chantageá-las para que enviassem grandes quantias de dinheiro em bitcoin – o que tornou o ransomware mais uma ameaça corporativa que preocupava os CISOs, mas não necessariamente cidadãos desavisados.

Agora pule para 2020. Enquanto a pandemia de COVID-19 se espalhava em todo o mundo e a maioria das pessoas foram forçadas a trabalhar em casa, mudando completamente os modelos de ameaça, fatores de risco e arquiteturas de rede em um curto espaço de tempo, o mundo começou a ver os operadores de ataque de ransomware mudarem seus modus operandi. Eles agora tinham como alvo grandes empresas conduzindo um duplo ataque de extorsão (PLEASE ATTACH THIS https://threatpost.com/double-extortion-ransomware-attacks-spike/154818/ ), onde os invasores não apenas violam a organização, criptografam os arquivos e os mantêm como reféns, mas também começam a extrair esses dados preciosos e altamente valiosos de volta para os invasores, ameaçando tornar esses dados disponíveis publicamente se o resgate não for pago.

Então, como podemos combater a ameaça do ransomware?

Esta nova era de ataques de ransomware ilumina um problema que há muito tempo deveria ter sido resolvido: o movimento lateral.

Para que os invasores extraiam todos esses dados, eles precisam saber onde eles estão na rede – e para saber disso, eles precisam mapear a rede e conhecê-la tão bem (se não melhor) do que a pessoa que a construiu originalmente. Isso exige que os invasores “se movam lateralmente” de uma máquina/servidor para outra/o, geralmente usando credenciais diferentes, roubando-as de várias máquinas na rede.

Muitos fornecedores de segurança tentaram resolver esse problema e alguns tiveram mais sucesso do que outros. O mercado de segurança viu novos tipos de produtos surgirem ao longo dos anos para evitar esse problema – de soluções DLP a EDRs e EPPs – todos eles tentaram, mas tiveram sucesso parcial na solução do problema do movimento lateral.

Resolver o movimento lateral é difícil porque os invasores estão usando os recursos da rede contra ela mesma.

Eles usam, por exemplo, credenciais de administrador e várias ferramentas administrativas legítimas (como o próprio Psexec ou Remote Desktop da Microsoft, ou mesmo WMI) movendo-se de uma máquina para outra, executando comandos maliciosos e cargas úteis para roubar dados e posteriormente criptografar a rede e iniciar a operação de extorsão. Muitas organizações estão investindo recursos na tentativa de colocar um band-aid neste problema, monitorando excessivamente vários recursos usando produtos EDR / EPP que não foram feitos para serem usados ​​para essa finalidade, resultando assim em um sucesso parcial de mitigar ou até mesmo reduzir o risco de um ataque de ransomware.

Parando o movimento lateral com segmentação

No entanto, existe uma solução e ela é muito mais simples de implementar do que você pode pensar: a segmentação de rede. A segmentação é algo que muitas vezes é esquecido ou até mesmo ignorado por ser considerada difícil de implementar e requer atenção cuidadosa à engenharia de rede e gerenciamento de ativos. Por causa disso, a segmentação da rede é frequentemente desconsiderada, o que deixa as redes “planas”, significando que cada terminal ou servidor pode se comunicar entre si sem qualquer restrição.

Até recentemente, segmentar uma rede significava colocar diferentes ativos em diferentes sub-redes com um firewall no meio. Isso não permitia nenhuma granularidade, tornava o gerenciamento da rede significativamente mais difícil e exigia que os administradores gerissem configurações complexas de firewall, juntamente com o gerenciamento de alocações de endereços IP em sub-redes diferentes, o que tornava o projeto e o dimensionamento da rede muito mais difícil para a equipe de TI, enquanto  as configurações incorretas elevavam o risco de segurança ou o risco de uma falha de rede (e, em alguns casos, até mesmo a ambos!). Isso, novamente, fez com que a equipe de TI não colocasse ênfase na segmentação e confiasse muito mais nos produtos de prevenção de execução, deixando a rede completamente plana e não segmentada.

Ordem Executiva promove segmentação para desaceleração de ransomware

Em um memorando recente da Casa Branca dos EUA analisando o crescimento dos ataques de ransomware, o tópico da importância frequentemente esquecida da segmentação de rede foi destacado, junto com precauções e recomendações mais tradicionais, como patches, 2FA e produtos de segurança atualizados.

A segmentação da rede ajuda não apenas a mitigar o risco em alguns casos, mas também a reduzir significativamente o risco de um ataque de extorsão dupla se implementado corretamente, ao conter e minimizar o “raio de explosão” de um ataque de ransomware. Mesmo que os firewalls e EDRs falhem em impedir a execução do ransomware, a segmentação adequada manterá o dano contido e não permitirá que os invasores se movam lateralmente pela rede, roubando mais dados e criptografando mais máquinas.

A granularidade da segmentação de uma rede com a abordagem de software exclusivo da Guardicore (add link https://www.guardicore.com/solutions/ransomware-prevention/) permite que você crie “silos de rede” entre servidores, aplicativos, sistemas operacionais diferentes, instâncias de nuvem, etc. A força de reduzir o risco de ransomware usando uma política de segmentação adequada vem de sua simplicidade: um bit pode viajar pelo fio (ou um Vswitch) para uma máquina diferente (ou uma VM / contêiner) ou pode travar, tornando inútil a tentativa dos invasores de alcançar mais recursos na rede, dando à equipe mais tempo para responder ao ataque e atualizar os principais interessados ​​da organização para que possam tomar decisões informadas sobre os danos do ataque.

A segmentação de rede não é uma alternativa a um firewall ou plataforma EDR, é uma abordagem complementar que reduz significativamente, ou elimina completamente, o risco de ataques baseados em movimento lateral em grande escala nas organizações.

Quer saber mais? Agende uma demonstração.

 

Assine a nossa newsletter

Sem spam, nós prometemos. Enviaremos apenas insights sobre como reduzir o risco em seu data center e nuvens.

Veja o Centra em ação

Reduza sua superfície de ataque e evite o movimento lateral com uma rápida e simples que funciona em qualquer lugar.