Por que a segurança cibernética está falhando contra o ransomware?

Dificilmente uma semana se passa sem que outra grande empresa seja vítima de um ataque de ransomware. Nate Warfield, CTO da Prevailion, discute os imensos desafios para mudar esse status quo.

Dificilmente uma semana se passa sem que outra grande empresa seja vítima de um ataque de ransomware. Nate Warfield, CTO da Prevailion, discute os imensos desafios para mudar esse status quo.

Sim, a segurança é difícil – ninguém está 100% seguro contra as ameaças que espreitam por aí. Mas como é que, repetidamente, as empresas – grandes empresas – continuam a cair em ataques de ransomware? Por que não estamos melhorando em evitá-los?

Vamos explorar as principais razões, começando com alguns princípios básicos antes de nos aprofundarmos mais:

Atrasos na implementação de 2FA

O erro do usuário nunca desaparece

AV desatualizado

Atrasos de detecção e resposta

Falha na detecção de “living off the land”

Cobalt Strike e outras ferramentas legítimas reaproveitadas

A colaboração do cibercrime é uma masterclass

Falha de política pública e problemas geopolíticos

Combustível das criptomoedas

2FA não implementado universalmente

A autenticação de dois fatores (2FA) é provavelmente a melhoria de segurança mais fácil que uma organização pode implementar e é uma das soluções mais defendidas pelos profissionais da infosec. Apesar disso, continuamos a ver violações como Colonial Pipeline ocorrendo porque as organizações não conseguiram implementar 2FA ou falharam em implementá-la * totalmente *.

Qualquer coisa que exija um nome de usuário e senha para acessar deve ter 2FA habilitado. Isso significa e-mail, aplicativos de negócios, implantações em nuvem, VPNs – qualquer coisa com credenciais de logon.

Os erros do usuário nunca vão parar – por que fingir o contrário?

As técnicas modernas de phishing são tão avançadas que até mesmo os praticantes de infosec acabam sendo vítimas delas, então como se pode esperar que o usuário médio tenha um melhor desempenho?

Os atacantes realizam o reconhecimento contra seus alvos e ajustam suas técnicas para obter o sucesso. E os fluxos de trabalho de muitos funcionários são literalmente um estudo de caso sobre o alvo dos ataques de phishing. Afinal, como pode Um funcionário da contabilidade – cujo trabalho é abrir PDFs e processar pedidos de compra – saber imediatamente qual PDF é seguro e qual pode conter malware?

Colocamos expectativas irreais nos usuários, então agimos de surpresa e os culpamos quando eles cometem o mesmo erro que muitos profissionais da Infosec já cometeram. Dave Aitel acertou em cheio anos atrás, quando argumentou que não se pode esperar que os funcionários não estraguem tudo. Os funcionários sempre cometem erros, então por que fingimos que isso vai mudar?

Soluções de antivírus contam com lógica de detecção facilmente contornada

Dificilmente uma semana se passa sem que outra grande empresa seja vítima de um ataque de ransomware. Nate Warfield, CTO da Prevailion, discute os imensos desafios para mudar esse status quo.

O antivírus, o software de segurança mais antigo que existe, percorreu um longo caminho nos últimos 20 anos. No entanto, muitas soluções AV ainda dependem de sistemas antiquados baseados em assinaturas para detectar software malicioso.

A detecção de código malicioso com AV baseia-se em ter uma assinatura binária do código, ou um hash de arquivo, e isso só funciona se o código não mudar. Renomear funções dentro do código antes de compilá-lo ou mover blocos de código dentro do código pode tornar inútil uma detecção anteriormente viável.

O antivírus tradicional não consegue “detonar” um malware – ou seja, executar o código em uma área restrita protegida e identificar por completo – portanto, embora o comportamento do malware seja idêntico, independentemente de sua assinatura, isso é extremamente difícil de detectar.

Esse problema é tão sistêmico que estruturas como o Invoke-Obfuscation existem para ajudar as equipes vermelhas – e, posteriormente, os agentes mal-intencionados – a contornar as soluções antivírus.

Soluções EDR / XDR / MDR são propensas a atrasos

A miríade de soluções de endpoint “DR” (detecção e resposta) são significativamente mais robustas do que antivírus, mas também têm seus limites.

Uma vez que a lógica para processar eventos de endpoint reside na nuvem, isso significa que pode haver um atraso de vários segundos a vários minutos entre a ocorrência de um evento e sua chegada ao console do administrador. Isso os torna propensos a perder a execução de ransomware.

Quando uma carga útil (payload) de ransomware é ativada, toda a rede pode ser desligada em questão de segundos, talvez minutos. Os operadores de ransomware frequentemente testam a carga útil real do ransomware em todos os sistemas da rede com antecedência, de modo que a carga útil seja executada quase simultaneamente em todos os sistemas da organização e muito mais rápido do que uma solução de DR será capaz de detectar.

É importante ressaltar que as soluções DR + AV do mesmo fornecedor frequentemente vêm com uma opção de “bloqueio” que pode permitir ao administrador isolar/colocar em quarentena uma máquina se uma carga maliciosa ou sequência de ações for detectada. No entanto, na prática, essa opção é geralmente desabilitada por padrão e – devido a preocupações de afetar a produtividade do usuário devido a falsos positivos – frequentemente é deixada desabilitada.

As técnicas LOLBin são mais difíceis de detectar

Outra razão comum para o sucesso do ransomware é que os operadores aprenderam a usar uma técnica chamada “living off the land binaries” (LOLBins).

Essas são ferramentas administrativas normais, geralmente no Microsoft Windows, mas todos os sistemas operacionais modernos têm algumas. Essas ferramentas têm finalidades válidas e legítimas e são usadas diariamente por administradores, o que torna a detecção de uso malicioso dessas ferramentas extremamente difícil. Por exemplo, o recente vazamento do manual do grupo Conti mostra uma forte dependência de ferramentas administrativas padrão do Windows.

É trivial para soluções de antivírus e DR detectar ferramentas desenvolvidas por atores, mas quase impossível determinar se os comandos para pesquisar os controladores de domínio locais e quem são os administradores de domínio foram feitos como parte da solução de problemas de conectividade de rede ou um precursor do movimento lateral . Por esse motivo, a maioria dos fornecedores de DR não alerta sobre o uso desses LOLBins ou alerta com baixa gravidade, pois esses comandos têm uma taxa de falsos positivos muito alta quando usados ​​para detectar atividades maliciosas.

Em alguns casos, as ferramentas LOLBin podem ser aproveitadas para funcionalidade adicional que foi adicionada ao código porque um desenvolvedor ou cliente em um ponto queria que suas ferramentas administrativas tivessem a capacidade de baixar arquivos arbitrários da Internet ou as próprias ferramentas podem começar secundariamente formulários.

Isso é feito para contornar um controle de segurança denominado Lista de permissões de aplicativos. A lista de permissões informa ao sistema operacional para não executar nenhum software, a menos que tenha sido assinado digitalmente por um fornecedor confiável (Apple, Google, Microsoft, etc.). No entanto, enganando um aplicativo válido e assinado para abrir um aplicativo não confiável e não assinado, os invasores podem contornar esse controle de segurança com nada mais do que aplicativos padrão que fazem parte do sistema operacional.

Conjuntos de ferramentas de ataque disponíveis gratuitamente reduziram a barreira para grupos de ransomware

Os invasores nunca estiveram melhor em termos de ferramentas disponíveis gratuitamente, como Metasploit e Mimikatz, ou cópias piratas de Cobalt Strike.

Quer precisem de conjuntos de ferramentas de phishing, estruturas de ofuscação, ferramentas de acesso inicial, infraestrutura de comando e controle (C2), ferramentas de abuso de credenciais ou até mesmo cargas de ransomware de código aberto, quase tudo isso pode ser encontrado gratuitamente no GitHub. A maioria das pessoas presume que atores maliciosos estão se escondendo na Dark Web, vendendo ferramentas para Bitcoin apenas para os mais sombrios dos blackhats , mas isso simplesmente não é verdade.

A indústria concedeu aos profissionais de segurança ofensiva sua bênção para desenvolver e lançar estruturas de ataque sob o argumento de que “os defensores precisam entender essas táticas”. Mas isso ignora o fato de que as estruturas de ataque também ajudam os invasores e tornam mais difícil para os defensores acompanharem.

Embora seja verdade que os defensores precisam entender as táticas ofensivas, na realidade, a maioria dos defensores está muito atolada no trabalho do dia-a-dia para ter tempo para testar cada estrutura ofensiva e, em seguida, desenvolver uma orientação defensiva.

A maioria dessas ferramentas de ataque está bem documentada em seu uso, mas não em sua detecção. E enquanto a barreira para a entrada de um invasor caiu para “você pode usar o Google, GitHub e ter habilidades básicas de computador”, os defensores estão pagando grandes somas de dinheiro por ferramentas e aparelhos complexos que só podem funcionar bem em um cenário de teste controlado.

Grupos de ransomware colaboram melhor do que a indústria InfoSec

Dificilmente uma semana se passa sem que outra grande empresa seja vítima de um ataque de ransomware. Nate Warfield, CTO da Prevailion, discute os imensos desafios para mudar esse status quo.

Os cartéis de ransomware existem porque colaboram. Na verdade, a maioria no setor de segurança concorda que os malfeitores na verdade tem uma rede de colaboração * melhor * do que as equipes e organizações que tentam impedi-los.

Ao espalhar o trabalho por vários grupos criminosos, torna as táticas, técnicas e procedimentos (TTPs) mais difíceis de atribuir a um único ator, podendo ofuscar as intenções do ator malicioso e permitindo os cartéis de ransomware-as-a-service (RaaS) para priorizar alvos de alto valor.

O modelo de participação nos lucros do RaaS funciona bem para motivar esses atores a encontrar constantemente novos alvos, enquanto transfere o trabalho pesado para profissionais mais sofisticados. Este método de colaboração leva a uma divisão de trabalho altamente eficaz, com grupos criminosos explorando o acesso inicial e exigindo que seus afiliados selecionem organizações de alto valor e patrimônio líquido que são mais propensas a pagar o resgate do que uma pequena família. empresa própria (embora esta última claramente não esteja imune).

Assim que o invasor determinar o negócio que impactou e o valor da empresa, ele definirá o resgate para algo que a vítima possa pagar. Um ataque que custa a uma empresa $ 10.000 pode custar a outra empresa $ 10 milhões e usará exatamente as mesmas ferramentas, fluxo de ataque, quebra de credenciais de acesso e uso de carga útil de ransomware.

Falta de estratégia e resposta coordenada nos setores público e privado

O ransomware não é uma ameaça nova, mas está se tornando cada vez mais fácil de realizar, receber e se safar. Grande parte do problema está relacionada ao setor público – durante anos, não houve uma política, direção ou planejamento estratégico claros de como o governo federal deveria lidar com esses ataques. Estamos lutando para desenvolver uma política consistente de dissuasão, bem como de resposta.

Assim, muitas empresas atingidas ficam sem nenhum recurso, exceto a opção de ter que pagar o resgate.

Os processos contra indivíduos dirigidos pelo governo dos EUA tiveram pouco ou nenhum impacto sobre as atividades criminosas ou estaduais. E a coordenação do setor público / privado tem sido bem falha; só recentemente se tornou uma prioridade maior.

O Enigma Geopolítico

Os problemas de política pública mencionados acima são exacerbados pelo fato de que gangues de ransomware freqüentemente operam em países fora da jurisdição dos EUA e sem acordos de extradição dos EUA.

Países como a Rússia deixaram claro que não extraditarão maus atores de seu país, a menos que seja parte de um acordo muito maior com os EUA (e estratégia geopolítica), nem tomarão qualquer ação de aplicação da lei doméstica, a menos que esses atores ataquem as empresas russas. Isso significa que os criminosos são essencialmente livres para operar – sem impedimentos e com impunidade.

É por isso que a maioria dos payloads de ransomware verificam a existência de idiomas russo e de países vizinhos em uso pelo sistema operacional alvo e imediatamente, de forma inofensiva, se autodestroem se forem detectados em execução em um sistema em um país onde um ataque poderia atrair a ira do governo russo.

Os aspectos geopolíticos desse problema não são triviais, se é que podem ser abordados. A Internet não tem fronteiras e, embora um invasor possa decidir ofuscar sua localização e imitar um invasor baseado na Rússia, não há como determinar com certeza absoluta que o ataque teve origem dentro das fronteiras russas. Isso torna os métodos tradicionais do governo de submeter um país à sua vontade – como sanções, embargos, aumentos de impostos de importação, etc. – uma forma inviável de infligir consequências.

A criptomoeda abastece toda essa indústria

A criptomoeda será lembrada por duas coisas: Facilitar o ransomware e aumentar exponencialmente a saída de CO2. Com toda a seriedade, sem um ecossistema de criptomoeda robusto, as gangues de ransomware estariam extintas de fome.

A criptomoeda abastece toda essa indústria do crime, pois fornece uma estrutura financeira que ignora o sistema financeiro global controlado pelos EUA, é muitas vezes difícil de rastrear (embora os pagamentos de resgate sejam frequentemente exigidos em Bitcoin, eles são então transferidos para uma criptomoeda diferente e não rastreável antes retirar os fundos) e cruzar facilmente as fronteiras internacionais.

Embora o Departamento do Tesouro dos EUA tenha sancionado recentemente a corretora de criptomoedas SUEX por seu suposto envolvimento em crime de ransomware, essa ação é apenas uma gota no oceano. Esses grupos também podem mudar para diferentes corretoras, exigir transações diretas das vítimas ou mudar para outras criptomoedas mais difíceis para rastrear como o Monero.

Se o governo dos Estados Unidos quiser levar a sério a incapacidade da indústria criminosa de criptomoedas, ele deve ter como alvo as próprias moedas não rastreáveis ​​- sancionando qualquer negócio (criptografia ou outro) que permita essas transações e conversões sem autorização e controle.

O que fazer com o flagelo do ransomware

Infelizmente, não existe solução mágica para impedir a ameaça existencial que o ransomware representa para a computação, a infraestrutura crítica e o mundo cada vez mais interconectado em que vivemos.

Os usuários e as organizações precisam estar sempre vigilantes, adotar abordagens de segurança em várias camadas e entender que a detecção precoce e a correção imediata de qualquer violação – não importa o quão pequena – é uma abordagem econômica muito mais importante do que uma alternativa.

Fonte: threatpost.com

Posts relacionados: 5 razões pelas quais estamos vendo mais ataques de ransomware do que nunca / SegInfocast #80 – Ransomware: um dos principais problemas da Segurança Cibernética e Cibercriminosos identificam a “vítima perfeita” para ransomware