Por que o ransomware se tornou uma grande ameaça à identidade

O ransomware continua a atormentar organizações em todo o mundo, com mais de 493.3 milhões de ataques detectados em 2022. Apesar da proliferação de produtos na pilha de segurança, as empresas continuam a ser vítimas destes ataques, pagando um média de US$ 812,360 em pedidos de resgate. E o custo total para uma organização é estimado em US$ 4.5 milhões, devido ao tempo necessário para detectar e remediar essas violações.

Este artigo explora por que os ataques de ransomware aumentaram tão dramaticamente, como os pontos cegos da proteção de identidade desempenham um papel fundamental nesses ataques e o que as organizações podem fazer para resolver esses pontos cegos e parar ransomware completamente.

Como o ransomware evoluiu para um risco comercial crítico

Embora o ransomware não seja um fenômeno novo – o primeiro ataque registrado data de 1989 – foi apenas nos últimos anos que se tornou uma crise mundial. Isso ocorre porque os invasores evoluíram suas técnicas em um ritmo muito mais rápido do que as organizações conseguem acompanhar. Até cerca de dez anos atrás, por exemplo, os agentes de ameaças só tinham a capacidade de infectar uma única máquina por vez com ransomware. Isto foi um desastre para o usuário e também um problema para a equipe de segurança, mas, em última análise, não representou um risco organizacional.

Mas com o aparecimento de vários ataques cibernéticos agora infames em 2017 (incluindo WannaCry e NotPetya), os cibercriminosos mostraram que poderiam acoplar uma carga útil de criptografia a um mecanismo de propagação automatizado. Isto significava que os atacantes estavam agora a utilizar uma nova técnica que lhes permitia mover-se através de um ambiente e, assim, atacar não apenas uma máquina de cada vez, mas infectar uma organização inteira de uma só vez.

Um exemplo recente e de destaque disto foi o ataque ao Oleoduto Colonial em Maio de 2021, que fechou uma importante artéria de combustível na Costa Leste dos EUA, levando à escassez de combustível e à declaração de emergência pelo presidente. Naquele ano, na verdade, os ataques aumentaram 78% em relação a 2020, com 66% de todas as organizações globais sendo afetadas por ransomware.

O impacto do ransomware é amplificado pelo movimento lateral

Para entender por que esses ataques se tornaram tão difundidos – e tão bem-sucedidos – é importante compreender o conceito de movimento lateral. De acordo com Corporação MITRE, movimento lateral é definido como uma série de técnicas que os adversários usam para expandir sua presença em um ambiente após um compromisso inicial.

Essa capacidade de conduzir movimentos laterais alimentou o apetite insaciável atual por ransomware, uma vez que um único ponto de comprometimento pode agora gerar uma recompensa potencialmente enorme para os invasores. Na verdade, o movimento lateral agora está sendo usado em 82% de todos os ataques de ransomware. Este é um desenvolvimento perturbador, uma vez que há apenas alguns anos esta capacidade estava confinada a cibercriminosos altamente sofisticados, tais como grupos de hackers patrocinados pelo Estado e agências de inteligência estrangeiras.

Então, vamos dar uma olhada mais de perto no que realmente está acontecendo aqui.

Ataques de movimento lateral são alimentados por credenciais comprometidas

De acordo com algumas estimativas, existem 24.6 bilhões de credenciais roubadas (ou seja, combinações de nome de usuário e senha) disponíveis para venda na Dark Web. Isso representa um tesouro para agentes de ameaças oportunistas que desejam se envolver em extorsão de ransomware. Porque com essas credenciais em mãos, os invasores sabem que, ao usar técnicas testadas e comprovadas, como phishing, smishing ou engenharia social, podem eventualmente obter acesso inicial ao ambiente de uma organização e, em seguida, agir de forma desenfreada.

A razão é por causa de uma falha fundamental no infraestrutura de identidade em si. Depois que os invasores obtêm acesso a uma máquina inicial, eles precisam apenas apresentar as credenciais comprometidas ao provedor de identidade responsável pela autenticação do usuário – provavelmente Microsoft Active Directory (AD), que é usado por 90% da Global Fortune 1000 – e o movimento lateral pode começar.

É por isso que o movimento lateral é uma ameaça de identidade tão séria, devido à disponibilidade de credenciais de usuário roubadas, bem como à capacidade dos invasores de extrair credenciais de máquinas comprometidas ou interceptar o tráfego de rede, o que permite que os cibercriminosos se autentiquem em várias máquinas em um ambiente, espalhar uma carga de ransomware por toda uma rede e criptografar várias máquinas simultaneamente.

Os ataques de ransomware estão aumentando devido a dois pontos cegos

Isto nos leva a um ponto importante, porque a medida de segurança conhecida como A autenticação multifator (MFA) é conhecida por ser capaz de prevenir 99.9% de todos os ataques cibernéticos. No entanto, se for esse o caso, por que esses ataques de ransomware continuam inabaláveis?

As razões são alarmantemente simples.

A MFA não pode ser aplicada em todos os lugares
Embora o MFA esteja disponível para aplicativos SaaS, cargas de trabalho em nuvem e acesso VPN não pode ser aplicado em ferramentas comuns de acesso de linha de comando, como PsExec, PowerShell e WMI. Isso ocorre porque os protocolos de autenticação que o AD usa – especificamente Kerberos e NTLM – não suportam MFA. Essas ferramentas de linha de comando são usadas regularmente por administradores de rede para obter acesso remoto a máquinas em sua rede, mas também são usadas por cibercriminosos que sabem que podem aproveitá-las para movimentação lateral usando credenciais roubadas sem serem impedidos por MFA. Este é um ponto cego crítico.

Proteger Contas de serviço é um desafio
O segundo ponto cego tem a ver com contas de serviços não humanos (também conhecidas como bots), que são contas máquina a máquina usadas para executar automaticamente funções importantes em um ambiente de rede, como atualização de software e realização de varreduras como verificações de integridade. O problema é que a maioria das organizações não sabe quantas dessas contas possuem ou o que cada uma delas está fazendo (ou seja, quais fontes e destinos as diversas contas de serviço estão autenticando).

A razão é porque não há nenhuma ferramenta de diagnóstico que possa descobrir todas essas contas em um ambiente, o que é alarmante, pois muitas organizações possuem milhares deles. Mais assustador ainda é o facto de os atacantes procurarem incansavelmente comprometer contas de serviço, que muitas vezes têm privilégios elevados, para que possam realizar movimentos laterais praticamente sem serem detectados e, assim, aceder facilmente a múltiplas máquinas e sistemas.

Muitas organizações têm em vigor um Solução de gerenciamento de acesso privilegiado (PAM) para manter as contas dos usuários seguras, mas há limitações quando se trata de contas de serviço. Isso ocorre porque o acesso à conta de serviço geralmente é realizado por meio da execução de scripts nos quais suas credenciais são codificadas. Isso significa que essas senhas não podem ser alternadas automaticamente por um PAM sem causar problemas (por exemplo, uma conta de serviço não consegue mais fazer login na máquina de destino, causando a interrupção de um processo crítico).

Como funciona o dobrador de carta de canal Silverfort Resolve pontos cegos de segurança para impedir ransomware

A Silverfort unificado Proteção de identidade plataforma foi criada para resolver esses pontos cegos. Ao focar no local onde ocorre a autenticação do usuário (ou seja, dentro do provedor de identidade), Silverfort pode estender a prevenção em tempo real de ameaças de identidade a todos os recursos e impedir a propagação de ransomware.

A forma como funciona é que o AD encaminha todas as autenticações e tentativas de acesso para Silverfort para uma “segunda opinião” antes de qualquer decisão de acesso ser tomada. Uma vez Silverfort recebe a solicitação, ela a analisa em relação ao seu mecanismo de risco e às políticas configuradas para determinar se uma verificação de segurança adicional – especificamente MFA – é necessária. Que significa Silverfort é efetivamente independente de protocolo: enquanto um usuário estiver se autenticando no AD, essa solicitação poderá ser analisada e avaliada se o protocolo usado for Kerberos, NTLM ou LDAP.

O resultado é que Silverfort pode impor MFA em qualquer recurso (seja por meio de seu próprio serviço ou por meio de integrações com qualquer provedor de MFA), incluindo as interfaces de linha de comando que os invasores usam constantemente para movimentos laterais. Isso aborda o primeiro ponto cego que leva à propagação do ransomware.

Silverfort também pode descobrir e proteger todas as contas de serviço. Como a plataforma pode ver todas as autenticações e solicitações de acesso, ela pode identificar rapidamente quaisquer contas que apresentem comportamento repetitivo de linha de máquina e rotulá-las como contas de serviço. Além disso, Silverfort pode fornecer “cerca virtual” para essas contas, permitindo que elas se conectem apenas a determinadas máquinas específicas, acionando MFA (ou até mesmo bloqueando o acesso) se essas contas exibirem um comportamento que se desvie de sua atividade normal. Isso significa que qualquer invasor que comprometesse uma conta de serviço seria impedido de realizar movimentos laterais.

Tudo isso é feito configurando políticas de acesso específicas no Silverfort plataforma, que é um processo fácil e intuitivo. Políticas para impor MFA em recursos difíceis de proteger, como acesso de linha de comando, compartilhamentos de arquivos e aplicativos legados, podem ser implementadas imediatamente, e muitas organizações descobrem que são capazes de descobrir e proteger todas as contas de serviço em semanas e sem qualquer interrupção dos negócios.

Contate-nos hoje para um demonstração e veja como Silverfort pode ajudar sua organização a impedir o ransomware.