Principais ataques cibernéticos de 2020 e o que aprendemos com eles

Pablo V. R. Galvez, Auditor Sênior de Segurança Cibernética, SI e TI do Banco do Brasil, destaca em seu artigo o impacto dos incidentes e como as organizações podem priorizar as melhores ações de resposta

Por: Pablo Galvez, ⌚ 20/04/2021 às 18h34 - Atualizado em 22/04/2021 às 16h54

*Por Pablo V. R. Galvez

 

Globalmente, os danos de atividade cibernética criminosa devem chegar a US$ 6 trilhões em 2021, conforme pesquisa da ISACA. Para combater a atividade criminosa, CISOs, CSOs, CIOs e executivos buscam aprimorar suas capacidades em segurança cibernética, tanto de forma preventiva quanto proativa. Já não é mais uma questão de “se” serão atacados, mas sim, “quando” serão atacados e “se” estarão preparados para recuperar-se dos impactos sofridos.

 

É imprescindível mitigar ameaças cibernéticas por meio de uma abordagem baseada em risco para que, de forma estratégica, possa-se envidar esforços priorizando recursos, principalmente em um período de receitas reduzidas por conta de impactos econômicos, sejam oriundos da pandemia ou de instabilidade política.

 

Referenciais como NIST, FFIEC, CMMC, dentre outros, são instrumentos de grande valia na estruturação das competências que uma instituição deverá desenvolver para alcançar a resiliência cibernética.

Aprender com as lições do passado também contribui para esse desenvolvimento. A seguir elenco os principais eventos de 2020:

 

SolarWinds: Riscos na cadeia de suprimento vêm se tornando cada vez mais presentes por conta da transformação digital, hiper conectividade de sistemas e pelo trânsito de informações confidenciais entre parceiros. O evento da SolarWinds originou-se de uma exploração de vulnerabilidade da cadeia de suprimentos onde um dos servidores responsáveis por atualizações e patchs da ferramenta SolarWinds foi comprometido, permitindo que os criminosos injetassem códigos nas atualizações dos softwares e contaminassem diversos clientes da aplicação.

 

O código malicioso permitia a alteração e extração de dados, bem como o acesso remoto aos dispositivos contaminados. Em vista de suas características, complexidade e forma de ataque, a ameaça foi classificada como uma ameaça persistente avançada (APT) e foi apelidado de “SUNBURST”.

 

Dentre as empresas vítimas deste ataque, parceiras da SolarWinds, estão a Microsoft e o Departamento de Defesa dos EUA.  A estimativa de custos para correção dos impactos para empresas americanas deve superar os US $100 bilhões.

 

Twitter: Gigante da comunicação foi vítima de uma investida criminosa cibernética que fez uso de engenharia social para obter credenciais de seus funcionários que tinham acesso a ferramentas de suporte. Com as credenciais dos usuários internos, os criminosos alteraram e-mails e dispositivos utilizados como segundo fator de autenticação (2FA) em contas de personalidades públicas para depois modificar suas senhas e fazer publicações em suas contas.

 

As publicações prometiam devolver em dobro qualquer quantia em bitcoin enviada para a carteira digital dos criminosos. Uma versão digital do golpe conhecido no Brasil como “o conto do vigário”.

 

Contas como as de Elon Musk, Jeff Bezos, Bill Gates, Barack Obama, Joe Biden, Kanye West, Mike Bloomberg, Uber e Apple, foram utilizadas pelos criminosos, o que resultou em US$ 120,000 em bitcoins aos criminosos.

 

Os valores podem não ser tão expressivos, mas o comprometimento de credenciais internas que permitam acesso a ferramentas de suporte poderiam resultar em vazamento massificado de informações confidenciais da base de usuários do Twitter, o que geraria impactos financeiros significativos e investigações de órgãos de fiscalização, sem citar a perda de credibilidade frente aos usuários.

 

Marriott: Não foi a primeira vez que a empresa dona de um conglomerado de hotéis de luxo foi vítima de um vazamento de dados. Aproximadamente 5,2 milhões de informações pessoais de hóspedes foram “hackeadas”. Dados como nomes, endereços, números de telefone e datas de nascimento, por exemplo, foram acessados de forma fraudulenta.

 

A exemplo do Twitter, houve o comprometimento de credenciais de funcionários que possibilitou que os criminosos obtivessem base de dados dos clientes. Não bastasse a pandemia para as empresas de hotéis, o vazamento comprova que nada é tão ruim que não possa piorar.

 

O Marriott foi multado em £18.4 milhões pelo órgão de vigilância da privacidade de dados do Reino Unido e acredita-se que o vazamento possa ser a continuação do ocorrido em 2018, onde aproximadamente 500 milhões de dados de hóspedes foram acessados por criminosos, o que ainda hoje é uma das maiores violações conhecidas na história.

 

MGM Resorts: Em fevereiro de 2020 mais uma empresa relacionada à viagens, mais de 10,6 milhões de dados de hóspedes da MGM Resorts foram compartilhadas em um fórum hacker, contendo informações como nomes completos, endereços, números de telefones, datas de nascimento, e-mail, dentre outros, de personalidades públicas como o cantor Jusitn Bieber, o CEO do Twitter Jack Dorsey, executivos sêniores de grandes empresas, repórteres, agentes do FBI e líderes governamentais.

 

As informações teriam sido vazadas por meio de acesso não autorizado em um servidor em nuvem utilizado pela MGM Resorts, a qual afirma que nenhuma informação financeira dos clientes teria sido comprometida.

 

Ainda em julho de 2020 uma nova lista surgiu à venda em fóruns hacker, desta vez possuindo mais de 142 milhões de dados, o que pode conotar que o vazamento seja maior do que o identificado.

 

Finastra: Fintech que fornece tecnologia financeira para bancos, cooperativas de créditos e provedores de serviços financeiros, foi vítima de um ransomware que interrompeu seus serviços em março de 2020. O ataque teria logrado êxito por conta de desatualização de equipamentos que continham vulnerabilidades conhecidas e não corrigidas, no caso a CVE-2019-19781 de quatro servidores Citrix (NetScaler).

 

O que esses eventos nos ensinam?

 

“Uma corrente é tão forte quanto seu elo mais fraco”.  Todas as tentativas de ataques que não alcançaram sucesso apenas testaram o elo mais forte (ou menos exposto) da segurança. Os criminosos vão atacar onde for mais “fácil” explorar as vulnerabilidades.

 

A Microsoft foi tão forte quanto a sua cadeia de suprimentos, no caso SolarWinds. O Twitter e o Marriott são tão seguros quanto os seus colaboradores forem capazes de ser. A MGM Resorts é tão protegida quanto os seus serviços na nuvem forem protegidos. A Finastra é tão resguardada quanto seu processo de atualização de patchs de segurança estiver sendo executado em tempo mínimo.

 

Cadeia de suprimentos, ameaças persistentes avançadas, engenharia social, segurança em nuvem e gestão de patchs de segurança. Esses são alguns elos que puderam ser explorados e resultaram em impactos negativos.

 

A melhor forma de se proteger é levar a segurança cibernética a sério e avaliar suas capacidades e competências, mensurando os riscos, priorizando as ações e desenvolvendo uma resiliência em segurança cibernética.

Existem referenciais de mercado que podem e vão nortear o como se proteger, mas cabe a cada empresa reconhecer suas características para implementar, de forma priorizada, as melhores ações.

 

*Pablo V. R. Galvez atua em segurança e TI a mais de 18 anos na indústria financeira. É Auditor Sênior de Segurança Cibernética do Banco do Brasil, bem como de Segurança da Informação e Tecnologia da Informação. Pablo é pós-graduado em Governança de TI e Tecnologia para Negócios com uso de IA, Data Science e Big Data pela Unieuro e PUC-RS, respectivamente.

/ VEJA TAMBÉM



/ COMENTÁRIOS