Equipa Semperis

O ciberataque da Colonial Pipeline em Maio de 2021 é considerado um dos principais ataques a infra-estruturas críticas até à data. Na época, o diretor de serviços da Semperis, Sean Deuby, previu que o ataque de ransomware como serviço (RaaS) era uma "implicação do que está por vir ... temporada aberta aos provedores de infraestrutura". Um ano depois, conversamos com Sean sobre o estado actual da cibersegurança das infra-estruturas: que lições foram aprendidas, que novas ameaças surgiram e que acções os fornecedores de infra-estruturas podem tomar agora para evitarem ser o próximo grande alvo.

No ano passado, previu que o ataque ao Colonial Pipeline era o início de uma tendência que visava os fornecedores de infra-estruturas críticas. Estamos a ver isso agora?

Sean Deuby: Com base apenas nos avisos do FBI e da CISA, diria que a resposta é um "sim" retumbante. Do BlackCat ao REvil e ao RagnarLocker, o número e a frequência das ameaças e dos agentes das ameaças continuam a ser elevados. E as infra-estruturas críticas parecem ser um alvo cada vez mais atractivo.

É preciso ter em conta que o conceito de "infra-estruturas críticas" é bastante abrangente. As primeiras coisas que nos vêm à cabeça quando ouvimos esse termo, pelo menos nos Estados Unidos, são provavelmente o ciberataque à Colonial Pipeline e o ataque à estação de tratamento de água na Florida, alguns meses antes. Mas os serviços públicos, incluindo as infra-estruturas de petróleo e gás, são apenas a ponta do icebergue quando falamos de sistemas críticos. Eu diria que os cuidados de saúde são críticos. A prevenção de incêndios e os serviços comunitários são fundamentais. O abastecimento alimentar é fundamental. Os últimos dois anos demonstraram como a cadeia de abastecimento just-in-time é vulnerável a qualquer tipo de perturbação, incluindo o tipo de ataque de ransomware que a REvil utilizou contra a JBS. E todos esses setores são alvos principais para grupos de ransomware.

"De acordo com a Gartner, os ataques de ransomware aumentaram 400% desde o ataque ao Colonial Pipeline em Maio de 2021, e incluem clientes que sofreram ataques e passaram pela recuperação."

Gartner: Como proteger os sistemas de backup contra ataques de ransomware

Existe alguma razão para os fornecedores de infra-estruturas serem particularmente vulneráveis?

Bem, logo à partida: Sistemas SCADA. Dispositivos IoT. Sistemas operativos incorporados com poucas ou nenhumas actualizações de segurança. Tecnologia desactualizada e difícil de actualizar. Cuidados de saúde, sistemas de serviços públicos... estes sectores estão repletos deste tipo de dispositivos, que são muito difíceis de proteger.

A pandemia também veio complicar o cenário, aumentando a necessidade de acesso remoto. Isso, naturalmente, aumenta a superfície de ataque. Durante o auge dos confinamentos, muitas entidades foram forçadas a juntar esses métodos. Como resultado, não foram criados com o cuidado, a consideração e a segurança de que realmente necessitam.

Dependendo do sector, o financiamento é sempre um problema. Muitas organizações não podem ou não querem justificar gastos adicionais com defesa em camadas ou tolerância a falhas. É claro que, se formos atingidos por ransomware, o custo será muito maior.

Está a assistir a um aumento da utilização de RaaS para distribuir ransomware?

Actualmente, é definitivamente uma opção popular para os agentes maliciosos. O objectivo da maioria dos grupos de ransomware é ganhar dinheiro, da forma mais rápida e fácil possível. Esse é o objectivo final - ganhar dinheiro, potencialmente para financiar actividades realmente desagradáveis, desde o crime organizado ao terrorismo. Quaisquer que sejam os métodos que permitam atingir esse objectivo, é justo. Por que não reduzir a dificuldade de entrar no negócio? Porque não tornar as coisas mais fáceis para os afiliados e obter uma parte no processo?

Que desenvolvimentos ocorridos durante o ano que se seguiu ao ciberataque à Colonial Pipeline o surpreenderam?

Talvez eu esteja mais surpreso por não termos visto mais ataques cibernéticos realmente eficazes do que vimos. Penso que a maioria dos especialistas em IAM está sempre à espera que o próximo NotPetya apareça. Especialmente tendo em conta alguns dos acontecimentos globais ocorridos no ano que se seguiu ao ciberataque ao Colonial Pipeline, estou agradavelmente surpreendido por não termos visto nada pior do que isso. Espero que isso seja um indicador de que as organizações estão a tomar medidas mais eficazes para proteger as suas redes e sistemas de identidade, como o Active Directory, que é, na maioria das vezes, o alvo final do ransomware.

Outro desenvolvimento, embora não surpreendente, é o reaparecimento de alguns dos jogadores do DarkSide no grupo BlackCat. Eu diria que é mais interessante do que surpreendente. Uma coisa a notar sobre muitos destes grupos que têm como alvo infra-estruturas críticas: Depois de a DarkSide ter sido visada pelo governo dos EUA após o ataque ao Colonial Pipeline, os agentes de ameaças não estatais tentaram manter os ataques suficientemente pequenos para evitar uma intervenção governamental séria. Trata-se de uma verdadeira ameaça ao seu potencial de lucro. Por isso, ver grupos a dissolverem-se e a reformarem-se noutras versões não é inesperado. E, do ponto de vista da cibersegurança, pode indicar o tipo de tácticas que veremos nos novos grupos, com base nas anteriores filiações dos seus membros.

Assim, tendo em conta tudo isto, que medidas podem as entidades de infra-estruturas críticas tomar neste momento para se protegerem?

Na Semperis, aconselhamos sempre as organizações a "pensar como um atacante". É realmente necessário olhar para a sua segurança da mesma forma que alguém sem moral ou com uma bússola moral extremamente distorcida o faria. Onde é que se encontra o maior lucro? É a sua propriedade intelectual? Os dados dos seus clientes? No caso das infra-estruturas críticas, quando falamos de ransomware, muitas vezes é simplesmente a quantidade de dinheiro que os agentes de ameaças podem ganhar ao bloquear os seus sistemas, geralmente depois de terem exfiltrado dados organizacionais valiosos. Um hospital que utiliza muitos equipamentos IoT para prestar serviços de manutenção da vida - medicação, ventilação e afins - tem muito mais probabilidades de pagar rapidamente do que uma organização que pode adiar a prestação de serviços durante dias.

Para além dos conselhos óbvios - patches, políticas de palavras-passe fortes e afins - a segmentação da rede e a implementação de controlos fortes em torno do acesso remoto são passos importantes. O acesso remoto, como mencionei anteriormente, alarga a superfície de ataque. Assim, quanto maior for a protecção que puder proporcionar, melhor. Para organizações como as empresas de serviços públicos, isolar os seus sistemas de TI e de autenticação dos seus sistemas de controlo de processos - e garantir que não são utilizadas credenciais duplicadas em ambos - pode, pelo menos, ganhar tempo durante um ataque.

Mais ideias a reter?

O que é preciso ter em mente sobre o ransomware é que os atacantes que conseguem invadir um sistema começam imediatamente a procurar acesso privilegiado. Movem-se lateralmente, passo a passo, utilizando o Active Directory. Quando atingem o jackpot de administrador, podem causar todo o tipo de estragos. É por isso que é tão importante ter uma solução de defesa específica para o AD. Poderá ter de defender milhares de pontos terminais e contas de utilizador. A probabilidade de alguém ou alguma coisa passar despercebida é elevada. A implementação de uma segurança forte em torno do Active Directory - a capacidade de automatizar alertas contra indicadores de segurança conhecidos de exposição e compromisso, a reversão de alterações ao Active Directory até que a sua equipa de segurança as possa rever e aprovar e, na pior das hipóteses, recuperar de uma cópia de segurança recente sem reintroduzir malware - é a sua melhor aposta para manter as luzes acesas.

O nosso mais recente relatórioPurple Knight mostrou que os sectores das infra-estruturas críticas, da administração pública, dos cuidados de saúde e dos transportes podem melhorar muito a segurança das contas e a segurança da Política de Grupo, em particular. Aconselho as organizações a utilizarem a ferramenta de avaliação gratuita Purple Knight para obterem uma imagem rápida do estado da segurança do Active Directory.

Obrigado por falar connosco, Sean!

Quer saber mais sobre a defesa de infra-estruturas críticas contra catástrofes como o ciberataque ao Colonial Pipeline? Consulte estes recursos: