Nota: O seguinte artigo irá ajudá-lo com: Cisco revela ciberataque em sua rede corporativa
A gigante das redes Cisco foi vítima de um ataque cibernético em maio. Em um aviso publicado na quarta-feira, a empresa anunciou que descobriu um incidente de segurança que atingiu sua infraestrutura corporativa de TI em 24 de maio. Embora alguns arquivos tenham sido comprometidos e publicados, a Cisco disse que nenhum ransomware foi encontrado, que conseguiu bloquear tentativas adicionais para acessar sua rede além da violação inicial e que reforçou suas defesas para evitar mais incidentes desse tipo.
“A Cisco não identificou nenhum impacto em nossos negócios como resultado deste incidente, incluindo produtos ou serviços da Cisco, dados confidenciais de clientes ou informações confidenciais de funcionários, propriedade intelectual ou operações da cadeia de suprimentos”, disse a empresa em seu aviso. “Também implementamos medidas adicionais para aumentar a segurança de nossos sistemas e estamos compartilhando detalhes técnicos para ajudar a proteger a comunidade de segurança em geral”.
O que aconteceu durante o ataque?
Um aviso suplementar publicado pela Cisco Talos, o braço de inteligência de ameaças da empresa, revelou mais detalhes sobre o ataque. Após sua investigação, a Cisco Talos descobriu que as credenciais de um funcionário foram comprometidas depois que o invasor assumiu o controle de uma conta pessoal do Google na qual as credenciais do indivíduo foram armazenadas e sincronizadas.
Após essa violação inicial, o invasor usou ataques de phishing de voz nos quais se passaram por organizações confiáveis para convencer os usuários a aceitar notificações fraudulentas de autenticação multifator. Essas notificações de MFA acabaram sendo bem-sucedidas, dando ao invasor acesso a uma VPN usada pelos funcionários.
VEJO: Política de segurança de dispositivos móveis (TechRepublic Premium)
Quem foi o responsável pelo ataque à rede da Cisco?
Apontando para o possível culpado, Cisco Talos disse que o ataque provavelmente foi realizado por alguém identificado como um corretor de acesso inicial com vínculos com a gangue de crimes cibernéticos UNC2447, o grupo Lapsus$ e os operadores de ransomware Yanluowang. Os corretores de acesso inicial geralmente violam organizações e vendem o acesso a gangues de ransomware e outros cibercriminosos.
Especializada em ransomware, a gangue UNC2447 ameaça publicar quaisquer dados que comprometa ou vender as informações em fóruns de hackers, a menos que o resgate seja pago. Relativamente novo no mundo do crime cibernético, o grupo Lapsus$ usa táticas de engenharia social, como solicitações de MFA, para enganar suas vítimas. Com o nome da divindade chinesa que julga as almas dos mortos, os invasores do ransomware Yanluowang prometem vazar publicamente os dados roubados e lançar ataques DDoS, a menos que o pagamento do resgate seja feito.
“Este foi um ataque sofisticado a um alvo de alto perfil por hackers experientes que exigiu muita persistência e coordenação para ser executado”, disse Paul Bischoff, defensor da privacidade da Comparitech. “Foi um ataque de vários estágios que exigiu comprometer as credenciais de um usuário, phishing de outros funcionários para obter códigos MFA, atravessar a rede corporativa da CISCO, tomar medidas para manter o acesso e ocultar rastros e exfiltrar dados. A Cisco diz que o ataque foi provavelmente realizado por um agente de acesso inicial, ou IAB. Embora alguns dados tenham sido exfiltrados, a principal função de um IAB é vender a outros hackers acesso a redes privadas, que mais tarde podem realizar outros ataques, como roubo de dados, ataques à cadeia de suprimentos no software Cisco e ransomware.”
Um tweet postado pelo provedor de inteligência de ameaças Cyberknow incluiu uma captura de tela do site de vazamento do grupo de ransomware Yanluowang mostrando a Cisco como sua mais recente vítima. O aviso do Cisco Talos exibiu uma captura de tela de um e-mail recebido pela Cisco dos invasores. Ameaçando a Cisco de que “ninguém saberá sobre o incidente e o vazamento de informações se você nos pagar”, o e-mail mostra um diretório de alguns dos arquivos violados no ataque.
Por que as empresas de segurança estão se tornando alvos
Os fornecedores de segurança cibernética e tecnologia estão cada vez mais sendo alvo de cibercriminosos. E os ataques estão sendo conduzidos por vários motivos, de acordo com a fundadora e especialista em segurança cibernética da ImmuniWeb, Ilia Kolochenko.
“Primeiro, os fornecedores geralmente têm acesso privilegiado a seus clientes corporativos e governamentais e, portanto, podem abrir portas para ataques invisíveis e supereficientes à cadeia de suprimentos”, disse Kolochenko. “Segundo, os fornecedores frequentemente têm inteligência inestimável sobre ameaças cibernéticas.”
Em busca de informações úteis sobre ameaças, os invasores realizam vigilância para determinar o status das investigações de fornecedores privados e possíveis incursões policiais pela aplicação da lei, explicou Kolochenko.
“Terceiro, alguns fornecedores são um alvo altamente atraente porque possuem as mais recentes ferramentas e técnicas DFIR (Digital Forensics and Incident Response) usadas para detectar invasões e descobrir criminosos cibernéticos, enquanto alguns outros fornecedores podem ter explorações para vulnerabilidades de dia zero ou até mesmo fontes código de spyware sofisticado, que mais tarde pode ser usado contra novas vítimas ou vendido na Dark Web”, acrescentou Kolochenko.
VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)
Como os profissionais de segurança podem proteger suas empresas de ataques semelhantes
Além de descrever o ataque e a resposta da Cisco, o grupo Talos deu dicas para outras organizações sobre como combater esses tipos de ataques.
Eduque seus usuários
Muitos invasores gostam de usar truques de engenharia social para comprometer uma organização. A educação do usuário é um passo importante para combater essas tentativas. Certifique-se de que seus funcionários conheçam os métodos legítimos que a equipe de suporte usará para contatá-los. Com o abuso de notificações de MFA, também garanta que os funcionários saibam como responder se receberem solicitações incomuns em seus telefones. Eles devem saber com quem entrar em contato para ajudar a determinar se a solicitação é uma falha técnica ou algo malicioso.
Verifique os dispositivos dos funcionários
Adote a verificação forte do dispositivo configurando controles rígidos sobre o status do dispositivo e certifique-se de limitar ou bloquear o registro e o acesso de dispositivos não gerenciados ou desconhecidos. Implemente a detecção de risco para identificar eventos incomuns, como um novo dispositivo sendo usado em um local irreal.
Aplicar requisitos de segurança para acesso VPN
Antes de permitir o acesso VPN de endpoints remotos, use a verificação de postura para garantir que os dispositivos de conexão correspondam aos seus requisitos de segurança e que os dispositivos invasores não aprovados anteriormente sejam impedidos de se conectar.
Segmente sua rede
A segmentação de rede é outro método de segurança vital, pois pode proteger melhor os ativos importantes e ajudá-lo a detectar e responder melhor a atividades suspeitas.
Usar logs centralizados
Ao confiar em logs centralizados, você pode determinar melhor se um invasor tenta remover algum log do seu sistema. Certifique-se de que os dados de log dos endpoints sejam coletados centralmente e analisados quanto a comportamentos suspeitos.
Vire para backups offline
Em muitos incidentes, os invasores visaram a infraestrutura de backup para impedir que uma organização restaure arquivos comprometidos em um ataque. Para combater isso, certifique-se de que seus backups sejam armazenados offline e teste regularmente a recuperação para garantir que você possa se recuperar após um ataque.
