MOVEit: Lições que podemos aprender com o ataque do grupo Cl0p ransomware!

Há poucos meses o grupo criminoso Cl0p ransomware aproveitou uma vulnerabilidade conhecida no software de transferência de arquivos gerenciado MOVEit (CVE-2023-34362) para comprometer alvos de alto valor em rápida sucessão, tendo atacado agora a provedora de segurança Gen Digital.

Mais de 100 organizações foram vítimas desses ataques, incluindo o Departamento de Energia dos Estados Unidos, a Ernst & Young, o Departamento de Transporte de Oregon, o governo da Nova Escócia, a British Airways, a BBC, a Aer Lingus, o Departamento de Inovação e Tecnologia de Illinois e o Departamento de Educação de Minnesota.

A Gen Digital é a “empresa-mãe” de várias marcas conhecidas de segurança como Avast, Avira, AVG, Norton e LifeLock.

De acordo com informações do portal Security Week, um porta-voz da Gen Digital afirmou: “Utilizamos o MOVEit para transferência de arquivos e removemos todas as vulnerabilidades conhecidas no sistema. Quando soubemos desse problema, agimos imediatamente para proteger nosso ambiente e investigar o impacto potencial. Confirmamos que não houve impacto em nossos sistemas de TI principais e em nossos serviços, e que nenhum dado de clientes ou parceiros foi exposto”.

Infelizmente, algumas informações pessoais de funcionários da Gen e trabalhadores temporários foram afetadas, incluindo nome, endereço de e-mail corporativo, número de identificação do funcionário e, em alguns casos, endereço residencial e data de nascimento. A empresa prontamente investigou a extensão do problema e notificou os órgãos reguladores de proteção de dados relevantes e os funcionários cujos dados podem ter sido afetados.

O que podemos aprender com essa situação?

Se agências governamentais responsáveis por instalações nucleares, como o Departamento de Energia dos EUA, e grandes escritórios de advocacia, como a Ernst & Young, que participam do Ransomware Task Force (Grupo de Trabalho de Ransomware) para moldar a resposta de nossa nação a essa epidemia de ataques de extorsão, não conseguem se proteger, quem pode?

Um hospital? Uma universidade? Uma cooperativa local de distribuição de energia? Nem pensar.

Infelizmente, a resposta é que ninguém está imune à possibilidade de que uma vulnerabilidade em um software possa expor a organização a um ataque de ransomware disruptivo e potencialmente devastador.

E mesmo que a organização esteja preparada para o pior cenário e consiga enfrentar um ataque de ransomware – como seria de se esperar de uma agência governamental crítica ou de um provedor de software e serviços de segurança -, ainda pode ter que lidar com a extorsão devido à perda de dados sensíveis.

No entanto, nem tudo são trevas e desespero. Apesar de os ataques de ransomware ainda estarem nas manchetes diárias, avançamos bastante na defesa contra eles. O problema é que os atacantes estão sempre um passo à frente e inovando tão rápido ou mais do que nós conseguimos encontrar soluções para derrotá-los.

Chegou a hora de encararmos algumas verdades difíceis sobre o problema do ransomware, principalmente de que a situação vai piorar antes de melhorar:

• Não podemos “impedir 100% ataques de ransomware”, apesar dos esforços e de excelentes plataformas de cibersegurança. Os atacantes vão atacar enquanto houver incentivo financeiro para isso.
  
• Não podemos prevenir todas as vulnerabilidades ou a exploração de uma vulnerabilidade durante um ataque. As falhas fazem parte do ciclo de vida do software, e embora possamos fazer muito para reduzir o número de vulnerabilidades que chegam ao mercado, não podemos esperar prevenir todas.
  
• Então, o que podemos fazer para reduzir o risco de um ataque de ransomware causar danos irreparáveis a uma organização? Podemos reconhecer o fato quase inevitável de que seremos atacados e, em seguida, focar em construir resiliência para reduzir o impacto potencial de um ataque.

Uma estratégia sólida de prevenção e resiliência para se defender contra ataques de ransomware inclui:

• Proteção de Endpoints (EPP): Implante uma solução anti-ransomware junto às plataformas existentes de Proteção de Endpoints (EPP/EDR/XDR) para preencher as lacunas na cobertura específica contra ransomware.
• Gerenciamento de Patch: Mantenha todos os softwares e sistemas operacionais atualizados e corrigidos.
• –Backup de Dados: Assegure-se de que os dados críticos sejam copiados para um local externo e protegidos contra corrupção no caso de um ataque de ransomware. Não armazene dados sensíveis a menos que seja necessário.
• Controle de Acesso: Implemente segmentação de rede e políticas de privilégios mínimos (Zero Trust).
• Conscientização: Implemente um programa de conscientização dos funcionários para educá-los sobre comportamentos arriscados, técnicas de phishing etc.
• Teste de Resiliência: Teste regularmente as soluções contra ataques simulados de ransomware para garantir uma detecção, prevenção, resposta e recuperação eficazes dos sistemas-alvo.
• Teste de Procedimento: Planeje e prepare-se para falhas executando exercícios regulares de simulação e garantindo que todos os envolvidos estejam prontos e disponíveis para responder a um ataque a qualquer momento.

Como o Halcyon pode ajudar a prevenir e se recuperar rapidamente de ataques ransomware

A detecção e prevenção de ataques de ransomware são importantes, mas as organizações também precisam estar preparadas para lidar com uma possível falha, assegurando que possam responder rapidamente e de forma decisiva a um ataque bem-sucedido, a fim de minimizar qualquer interrupção potencial das operações.

Nunca seremos capazes de impedir completamente os ataques de ransomware, mas podemos impedi-los de derrubar completamente as operações de uma organização, bloqueando o ataque no início ou durante o movimento lateral, impedindo a exfiltração de dados, bloqueando a execução do ransomware e recuperando rapidamente os sistemas, minimizando o tempo de inatividade.

É isso aí, pessoal. A situação dos ataques de ransomware não é nada fácil, mas se nos prepararmos adequadamente, podemos enfrentá-la com mais resiliência e minimizar seus impactos. Lembre-se de adotar medidas de proteção, conscientização e teste de resiliência para garantir a segurança de suas organizações.

Datasheet: Halcyon vs. EPP/EDR

Neste documento você terá uma visão abrangente dos recursos do Halcyon e como ele complementa EPPs e EDRs, tornando-se um enorme aliado no combate e prevenção ao ransomware e outras ameaças cibernéticas. Baixe gratuitamente!