O ransomware que atacou o STJ fez um estrago bem grande e neste momento que escrevo para o blog dia 10/11/2020 às 09:30 da manhã o site do STJ ainda estava fora do ar. Tudo indica que sistemas vitais (eu diria), foram comprometidos devido ao tempo que já se passou e ainda não temos o STJ com todas as suas atividades em pleno funcionamento de forma habitual, isso mostra a força do ataque que, no meu ponto de vista, foi bem sucedido (até demais). O que nos leva a esse segundo post (leia o primeiro aqui) onde vamos explorar outras alternativas que poderiam ter sido usadas durante o ataque e como algumas ferramentas poderiam ter ajudado neste momento crítico.
E se o hacker roubou uma identidade (senha de ADM)
Não podemos descartar a hipótese que para o efetivo sucesso do ransomware no STJ, o hacker tenha utilizado um acesso privilegiado dentro do ambiente, seja conseguindo uma credencial mais baixa e fazendo um ataque lateral ou mesmo roubando essa identidade (login) diretamente do computador da vítima utilizando os mais diversos meios, phishing, engenharia social, keylogger entre outros. Neste caso as defesas comuns como firewalls e sistemas de autenticação como uma vpn seriam facilmente ludibriadas já que de posse de uma credencial de adm é possível acessar sistemas e criar outros logins e até mesmo baixar a segurança de sistemas antes que alguém possa perceber que isso está acontecendo. Como poderia o STJ ter uma defesa eficiente contra este tipo de ataque, que usa uma credencial válida com acessos irrestritos dentro do ambiente e que muitas vezes é silenciosa? Bom ele poderia usar nossa ferramenta de User Identity o SILVER FORT.
Entendemos que o perímetro de defesa de uma organização é o próprio usuário ou seu formato digital, suas credenciais. Do que adianta firewalls, antivírus, sistemas de autenticação quando o hacker possui uma conta de adm da rede inteira? Ainda mais em tempos de trabalho remoto, vpns, redes sem fios e diversos sistemas que não se falam e nem possuem sistemas de segurança avançada. Com uso do SILVER FORT é possível identificar o uso de credenciais fora do padrão ou do escopo habitual (comportamento) e pedir validações por MFA de acordo com uso ou por tipo de ação. A ferramenta analisa todos os logins realizados por humanos e máquinas e ajuda a criar perímetros de segurança para cada tipo de credencial de forma a proteger sua identidade e assegurar seu uso de forma segura.
Como identificar o comportamento estranho do usuário antes do ataque?
Mas o SILVER FORT não é o único caminho, ele ajudaria a manter a integridade das credenciais e o ataque não seria tão abrangente e bem sucedido (possivelmente não ocorreria). Mas sem uma solução de user identity de ponta o que o STJ poderia ter que ajudaria a detectar o ataque e antecipar as contra medidas? A resposta é bem simples: AUDITORIA! É sério isso? Como uma simples auditoria bem feita poderia ter efetiva participação na defesa ou contingência do ataque?
Bom nossa ferramenta de auditoria não identificaria o ransomware no STJ, mas seria capaz de revelar dados e gerar evidências que muitas vezes negligenciamos ou simplesmente desconhecemos. No exemplo citado acima o NETWRIX AUDITOR poderia ter identificado o uso da credencial comprometida modificando arquivos em massa nos files servers, criando usuários novos dentro do Active Directory e ainda poderia disparar alertas por e-mails para ações consideradas anomalias de comportamento para uma credencial como: Remover arquivos em massa, falhas sucessivas (login, modificação e deleção por exemplo), uso fora do horário comum de trabalho (madrugada), modificações de ambiente ou de acessos que não tenham uma GMUD ou ordem de execução (neste caso os reports apontam mudanças mas os responsáveis não receberam as demandas para tal). Dessa forma é possível detectar possíveis invasores dentro da rede interna, ainda mais quando a equipe de auditoria/segurança tem pleno conhecimento das operações e identificam falhas facilmente nos relatórios de auditoria. Ataques como este geralmente são arquitetados por profissionais do crime cibernético e levam dias ou até mesmo meses para serem executados da forma mais silenciosa possível pois isso vai refletir diretamente na eficiência do ataque. Muitas vezes o feijão com arroz é a melhor saída e isso é um alerta para os profissionais de TI que ainda hoje negligenciam o tema da segurança colocando-o em segundo plano e investindo recursos pífios no que deveria ser um dos pontos mais forte dentre de uma TI eficiente e alinhada ao negócio.
