Nenhum sistema está seguro...

O objetivo deste site é o de gerar conhecimento na área Forense, Jurídica e tecnologica.

segunda-feira, 2 de dezembro de 2019

Estudo do Ataque na Prosegur

Por Thiago Alvarenga

Precisamente na quinta - feira 27 de novembro, uma empresa pioneira em Segurança Patrimonial, a Prosegur, foi infectada por um malware capaz de comprometer e paralisar parte da empresa, que por conseguinte culminou na desativação e demissão do departamento de TI. Veja o seu comunicado no Tweetar: 


Fonte: tweetar


O APT, acrônimo para Advanced Persistent Threat, comumente conhecido como Ameaça Persistente Avançada é uma expressão usada para definir ameças cibernéticas, um pouco inclinada a espionagem via internet. Talvez este seja o maior motivador para este tipo de ataque. Isto porque é necessário dispor de um amplo arsenal de técnicas e investimentos. 

O tipo de ataque identificado no caso de estudo foi o Ryuk (ransomware), ou seja, método de extorsão que criptografa o computador e solicita o resgate por meio de pagamento digital. Segundo a McAfee, este ataque é mais sofisticado entre as suas variantes que perfazem mais de 6 mil, ele tem um alto poder de destruição, figura como o tipo de malware que mais arrecada valores por extorsão digital. Veja o o Gráfico abaixo:


Fonte:  Mcafee
  

A característica relevante deste malware é que suas rotinas têm interação humana, usa-se sua automatização não é um fator determinante, ou seja, ele é manipulado através do seu invasor, isso possibilita um alcance maior em dados criptografados, acesso a protocolos remotos para destruição de backups e maior controle do seu desastre. Uma técnica crucial é utilizada para o sucesso da empreitada, denomina-se de movimento lateral que trabalha silenciosamente para roubar credenciais de administradores de domínio, manipular controles internos, desativar backups, em muitos casos ele passa despercebido já que não se comporta como malware. Os ataques são interativos e manuais com o uso de Exploits, Mimikatz e escala de privilégios. Tudo isto é diferente ao que é visto em Kits de ferramentas Ransomware-as-aservice (Raas) vendidos na Dark Web.


Fonte: Autoria própria

Observe a imagem acima e vamos analisar:

  1. Primeiro o invasor direciona o seu ataque por meio de Engenharia Social ou por Invasão de Rede Local, ainda, por algum outro método semelhante.
  2. Segundo, é usado métodos de movimentação lateral, técnica utilizada para escalada de privilégios usualmente com ferramentas de exploits e minikatz (modinha atual).
  3. Terceiro, via C&C, roteadores comprometidos são usados para camuflar e receber comandos na rede infectada.
  4. Quarto, usando o Trickbot (uma derivação do Dyre) é feita a manipulação das máquinas infectada.



Conclui-se que é necessário algumas políticas de segurança bem definida para que este tipo de ataque não logre êxito, estamos falando de rotinas como a NBR 27001, COBIT, ITIL e outros. Para ser mais específico mesmo com todas essas políticas, observa-se que o fator humano é a principal porta de entrada para os ataques de cibernéticos, é certo que toda empresa precisa de uma equipe de segurança da informação bem treinada capaz de fazer auditorias e mensurar riscos. Este trabalho também pode ser realizado por uma empresa especializada em cyber security, por exemplo.


Fonte:
https://pt.wikipedia.org/wiki/Amea%C3%A7a_persistente_avan%C3%A7ada
https://securingtomorrow.mcafee.com/blogs/other-blogs/mcafee-labs/ryuk-exploring-the-human-connection/
https://www.tecmundo.com.br/seguranca/148215-ransomware-ryuk-forca-prosegur-desativar-departamento-ti.htm
https://twitter.com/Prosegur/status/1199652211229437952?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1199652211229437952&ref_url=https%3A%2F%2Fwww.tecmundo.com.br%2Fseguranca%2F148215-ransomware-ryuk-forca-prosegur-desativar-departamento-ti.htm
https://www.enigmasoftware.com/pt/trojantrickbot-remocao/
https://tiinside.com.br/tiinside/18/09/2019/wannacry-tem-mais-de-6-mil-variacoes-registradas-em-agosto/
https://blog.ticonquista.com.br/2019/06/ciberataques-em-larga-escala.html
http://www.securityreport.com.br/overview/sophos-apresenta-protecao-contra-movimentos-laterais-para-o-xg-firewalls/#.XeZ9V-hKi02
https://medium.com/@viniciuskmax/obtendo-senhas-e-hashes-do-windows-via-mem%C3%B3ria-e-registro-o-guia-atualizado-b4e67edd4823
http://www.securityreport.com.br/overview/sophos-apresenta-protecao-contra-movimentos-laterais-para-o-xg-firewalls/#.XejRhOhKi02
https://www.symantec.com/pt/br/security-center/ransomware-viruses
https://seumicroseguro.com/2018/06/04/fbi-alerta-para-perigoso-malware-russo/fbi-malware-alerta/
https://www.tecmundo.com.br/seguranca/128270-malware-slingshot-causa-estrago-invadir-roteadores-especificos.htm
https://resolvesolucoes.com.br/wp-content/cache/all/blog/slingshot-virus-para-mikrotik//index.html
https://blog.malwarebytes.com/threat-analysis/2016/10/trick-bot-dyrezas-successor/
https://www.trendmicro.com/vinfo/us/security/definition/command-and-control-server
https://medium.com/@viniciuskmax/obtendo-senhas-e-hashes-do-windows-via-mem%C3%B3ria-e-registro-o-guia-atualizado-b4e67edd4823










Postado por: at

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.

Assinar: Postar comentários (Atom)

Análise da Vulnerabilidade CVE-2024-23113 no FortiGate

  Relatório Técnico: Análise da Vulnerabilidade CVE-2024-23113 no FortiGate e Medidas de Mitigação Introdução Nos últimos anos, as vulnerabi...