Como uma estratégia Zero Trust poderia ter impedido o ataque de ransomware ao Colonial Pipeline

Por Ivan Marzariolli, gerente geral da A10 Networks do Brasil

Salvador, 18/06/2021 – No início de maio, o mundo assistiu estarrecido mais um ataque cibernético de grande porte, desta vez contra a Colonial Pipeline, uma das maiores operadoras de gasodutos dos Estados Unidos. A empresa foi vítima de um ataque de ransomware que desligou toda sua rede de TI corporativa e, consequentemente o próprio gasoduto, que transporta mais de 100 milhões de galões por dia e 45% da gasolina, diesel e outros combustíveis de todo país, causando escassez generalizada na Costa Leste.

O ransomware é apontado como uma das principais ameaças do mundo digital pelo FBI e a Europol, inclusive, a agência europeia nomeou o ransomware a principal ameaça cibernética de 2019. Já a agência americana destacou que, em 2019, foram registrados cerca de 2.400 ataques de ransomware no mundo, causando perdas de mais de US$ 8 milhões.

Em 2020, os ataques ransomware atingiram o maior valor já registrado, rendendo a hackers pelo menos US$ 406 milhões (cerca de R$ 2,1 bilhões) de acordo com relatório da Chainalysis, consultoria global de análise de blockchain com ênfase em bitcoins.

O ataque de ransomware contra a Colonial Pipeline foi o trabalho de um grupo de hackers russo ou do Leste Europeu chamado DarkSide e, de acordo com a Bloomberg, apesar dos primeiros relatos alegando que a empresa não tinha intenção de pagar o resgate, na verdade ele foi pago quase imediatamente no valor de cerca de US$ 5 milhões em  Bitcoins, um resgate relativamente pequeno para uma empresa do porte da Colonial Pipeline. Geralmente os resgates costumam ficar na casa dos US$ 25 milhões ou mais.  Em troca do pagamento, a Colonial Pipeline recebeu uma ferramenta de descriptografia de ransomware que era tão lenta que a empresa foi forçada a confiar em seus próprios backups para restaurar seus sistemas, levando a redução da disponibilidade de combustível, que continuou por aproximadamente mais uma semana.

 A ascensão do Darkside 

O grupo de hackers DarkSide surgiu pela primeira vez como uma ameaça à segurança cibernética em agosto de 2020, quando publicou um comunicado à imprensa afirmando:

“Somos um produto novo no mercado, mas isso não quer dizer que não tenhamos experiência e viemos do nada.

Recebemos um lucro de milhões de dólares em parceria com outros criptolockers bem conhecidos.

Criamos o DarkSide porque não encontramos o produto perfeito para nós. Agora já temos”.

Os alvos do DarkSide são redes corporativas que executam o Microsoft Windows e o grupo afirma que eles não terão como alvo os serviços de saúde nem de educação ou organizações sem fins lucrativos.

Quando um grupo como o DarkSide consegue invadir uma rede, ele pode copiar todos os dados que encontrar para seus próprios servidores e, em seguida, criptografar os dados da vítima no local usando ransomware. Se os dados forem privados ou comercialmente confidenciais, os hackers publicarão uma parte dos dados roubados em um site que eles controlam para demonstrar que foi bem-sucedido.

O DarkSide geralmente deixa claro que, se o resgate não for pago, todos os dados serão publicados online por pelo menos seis meses, portanto, mesmo que a vítima consiga restaurar os backups com sucesso, ainda haverá um valor  para pagar.

Se a vítima pagar, o DarkSide, assim como a maioria dos criminosos de ransomware, promete fornecer uma ferramenta de descriptografia para recuperar os dados criptografados. Além disso, conforme observado acima, mesmo quando os criminosos cibernéticos fornecem uma ferramenta de descriptografia, não há garantia de que funcionará bem o suficiente para corrigir o ataque de ransomware.

Infraestruturas de TI vulneráveis 

Embora os ataques de ransomware a empresas e serviços americanos não sejam novos, a escala e as consequências do ataque ao Colonial Pipeline realmente enfatizam o quão vulnerável é a infraestrutura dos EUA e, consequentemente, o governo foi instigado a agir encorajando todas as organizações a tomar medidas para fortalecer sua postura de segurança cibernética para reduzir sua exposição a esses tipos de ameaças.

Os ataques de ransomware estão também se multiplicando no Brasil, cujos alvos são empresas e instituições. Em 2020, ocorreram ataques de porte no País, com destaque ao da Light, empresa distribuidora de energia elétrica que atende 31 dos 92 municípios o Estado do Rio de Janeiro, com um total de 7 milhões de consumidores. A empresa teve seus sistemas de atendimento ao cliente invadidos por um ataque de ransomware no qual os hackers pediram um resgate de 107.213,96 de Moneros (criptomoeda de código aberto criada em 2014), o equivalente a R$ 37 milhões.

A Honda Motor também sofreu um ataque que atingiu os servidores internos da empresa e que forçou algumas fábricas, inclusive a do Brasil, a interromper as operações como forma de garantir que seus sistemas de controle de qualidade não fossem comprometidos. Isso afetou sua produção de automóveis e motocicletas globalmente.

Prefeituras no Brasil e no mundo tiveram seus sistemas de TI invadidos por ransomware em 2020. A Prefeitura Municipal do Rio de janeiro foi um dos alvos, onde pelo menos 13 unidades de saúde teriam tido seus computadores bloqueados pela invasão e para a recuperação dos dados roubados, teria havido uma cobrança em bitcoins.

Dado que este tipo de ataque às infraestruturas de TI não é novo e está em franca expansão, levanta-se a questão de por que as organizações não estão se defendendo com o que se tornou reconhecido como a melhor prática de tecnologia da informação para proteger redes – a metodologia Zero Trust.

Zero Trust – Protege as redes de ameaças internas e externas indiscriminadamente

Existem quatro componentes para a metodologia Zero Trust que empresas e governos devem usar para defender suas redes:

– Crie micro segmentos e micro perímetros de rede para restringir o fluxo de tráfego e limitar os privilégios e acessos excessivos do usuário, tanto quanto possível;

– Fortaleça a detecção e resposta a incidentes usando análises e automação abrangentes;

– Integre soluções em redes de vários fornecedores com facilidade, para que possam trabalhar juntas perfeitamente, permitindo conformidade e segurança cibernética unificada. As soluções também devem ser fáceis de usar para que a complexidade adicional possa ser removida;

– Ofereça visibilidade abrangente e centralizada de usuários, dispositivos, dados, rede e fluxos de trabalho. Isso também inclui a visibilidade de todos os canais criptografados.

Fundamentalmente, o modelo Zero Trust é baseado em não confiar em ninguém ou em nada em sua rede. Isso significa que o acesso à rede não é concedido sem que a rede saiba exatamente quem você é. Esse acesso é examinado em vários pontos da rede, usando micro perímetros, para garantir que nenhum usuário não autorizado se mova lateralmente pela rede. Mas para fazer um modelo Zero Trust funcionar, ele deve ser apoiado por análises e inspeção de tráfego em profundidade para preencher o que é essencialmente o ponto cego do modelo.

A chave para essa abordagem é o uso de soluções de inspeção TLS / SSL (recurso de segurança de filtros da WEB para detectar ameaças online) que descriptografam e analisam o tráfego de rede criptografado para garantir a conformidade com a política e a privacidade. Ao monitorar o tráfego criptografado para detectar cargas úteis de malware e comunicações de rede suspeitas, bem como a exfiltração de dados controlados, por exemplo, números de cartão de crédito, a inspeção TLS / SSL possibilita que o modelo Zero Trust faça o que deve fazer – proteger as redes de ameaças internas e externas indiscriminadamente.

Se a sua organização não adotou uma estratégia Zero Trust combinada com uma profunda inspeção de tráfego TLS / SSL, chegou a hora de começar a repensar sua posição de segurança, porque os agentes de ameaças como o Darkside não irão embora tão cedo.

Últimas notícias

Negócios
TIVIT registra receita de 1,9 bilhão de reais em 2023

Salvador, 03/05/2024 – A TIVIT, multinacional brasileira que conecta tecnologia para um mundo melhor, registrou receita bruta de 1,9 bilhão de reais em 2023, com crescimento de 10,4% em relação ao ano anterior. A empresa teve também um aumento relevante no volume de contratos vendidos que cresceu 46% em relação a 2022. Entre as linhas […]
Artigos
IA vai tomar conta das empresas nos próximos 5 anos

Por Filipe Bento, CEO da BR24, empresa brasileira fornecedora do software internacional Bitrix24 Salvador, 03/05/2024 – Muito dificilmente você passou o ano de 2023 sem ao menos acessar o ChatGPT, uma ferramenta de inteligência artificial de linguagem natural desenvolvida pela OpenAI, amplamente utilizada por estudantes e profissionais em diversas áreas. Na era digital contemporânea, a […]
Vagas de TI
Com salários de até R$ 16 mil, CloudWalk abre mais de 30 vagas para PCD nas áreas de Tecnologia, Marketing e IA

Salvador, 02/05/2024 – A CloudWalk, dona da plataforma de serviços financeiros InfinitePay, está com mais de 30 vagas abertas para pessoas com deficiência. São diversas posições nas áreas de tecnologia, marketing, pagamentos e suporte, focadas exclusivamente no público PCD. A expectativa é que esses profissionais apresentem conhecimento nos campos de engenharia de dados, desenvolvimento de […]
Educação
Baianos podem concorrer a 60 mil bolsas para curso de tecnologia

Salvador, 02/05/2024 – O Santander Universidades está com inscrições abertas para a 5ª edição do Santander Coders. Em parceria com a Ada Tech, plataforma de educação impulsionada por tecnologia, o Banco vai conceder 60 mil bolsas para um curso digital introdutório para Front-end, Data Engineering, Data Science ou DevOps. Os 300 bolsistas que obtiverem melhor […]
Dança da Cadeiras
Heverton Barbosa Cruz é o novo CEO da Cogra Distribuidora

Salvador, 02/05/2024 – Com mais de 12 anos de atuação no mercado de outsourcing, Heverton Barbosa Cruz assume como novo CEO da Cogra, distribuidora líder no segmento de equipamentos de impressão gerenciada em território nacional. O executivo assume com a missão de dobrar o tamanho da empresa até 2026 e os principais desafios nesta trajetória […]

Menu