O recente ataque de ransomware a Colonial Pipeline é supostamente um dos ataques mais significativos no setor de energia até o momento, e tem sobrecarregado os especialistas em segurança cibernética em todo o mundo.

Em 29 de abril de 2021, a Colonial Pipeline – a empresa que opera o maior gasoduto de combustível dos Estados Unidos, transportando cerca de 45% do combustível usado na Costa Leste – foi atacada por hackers do grupo criminoso DarkSide. Como resultado, a empresa desligou temporariamente toda a sua rede, levando a uma grave escassez de combustível e um aumento nos preços do gás. Embora a Colonial Pipeline tenha retomado seus serviços duas semanas após a paralisação, os malfeitores ainda destruíram um dos recursos energéticos mais críticos do país, afetando mais de 50 milhões de residentes, ao mesmo tempo em que recebiam um resgate de $ 4,4 milhões em troca (embora parte do resgate entretanto, foi apreendido pelas autoridades).

Incidentes de segurança como este destacam que ataques cibernéticos e violações não apenas custam a reputação das organizações, mas podem atrapalhar ou até mesmo interromper a entrega de serviços ao público. Portanto, é hora de todas as organizações, especialmente aquelas que atendem ao interesse do público e desempenham papéis importantes na economia, fortalecerem seu programa de segurança cibernética.

A história de fundo: como os hackers acessaram a rede da empresa

Uma conta VPN abandonada e ociosa, juntamente com práticas de senha inadequadas, seguida por um dos funcionários da Colonial Pipeline, criou backdoors para o ataque de ransomware. Em 29 de abril, os hackers conseguiram entrar na rede corporativa por meio de uma conta VPN, que não estava mais ativa no momento do ataque. A senha da conta estava disponível na dark web dentro de uma série de senhas vazadas, o que significa que um funcionário pode ter usado a mesma senha em outra conta que foi hackeada anteriormente. O que foi mais favorável para os hackers foi que a conta também não usava autenticação multifator (MFA). O incidente passou despercebido por mais de uma semana, até 7 de maio, quando uma nota de resgate apareceu na tela do computador exigindo criptomoeda. Demorou mais uma semana para a empresa confirmar que a unidade operacional do gasoduto não estava danificada, e o Pipeline Colonial retomou seus serviços em 12 de maio.

Isso vai comprovar como, quando se trata de sistemas que gerenciam os ativos mais críticos, as organizações ainda não prestam atenção à importância de praticar a higiene de segurança básica, como adotar MFA, identificar e excluir contas privilegiadas ociosas e empregar controles de acesso robustos. O que teria sido facilmente evitado apenas com o conjunto básico de controles transformou-se em um desastre de segurança cibernética devido à pura falta de atenção às melhores práticas de segurança recomendadas.

Onde o sistema de segurança da Colonial Pipeline falhou

A crescente popularidade do trabalho remoto entre a força de trabalho global levou a um aumento significativo no número de ataques baseados em acesso remoto, e os cibercriminosos estão sempre em busca de VPNs inseguros e caminhos de acesso remoto vulneráveis para invadir a infraestrutura crítica. Um passo negligente de um funcionário ou organização, em última análise, resulta na exploração de vulnerabilidades potenciais, embora muitas vezes negligenciadas.

O hack de Colonial Pipeline foi desastroso, mas também muito provavelmente evitável; resultou de pura negligência para proteger a infraestrutura crítica. Para resumir, aqui estão os principais aspectos que catalisaram o ataque:

Uso de senhas duplicadas para contas confidenciais: Se a organização tivesse exigido o uso de senhas exclusivas para contas privilegiadas, o funcionário não teria escolhido uma senha usada anteriormente para sua conta corporativa. A maneira mais fácil de fazer isso é usando um gerador de senha que sugere senhas fortes e complexas de forma aleatória.

Contas privilegiadas órfãs, abandonadas e inativas: A conta usada para acessar a rede de TI da Colonial Pipeline não estava ativa no momento do ataque. Muitas organizações não rastreiam contas inativas, bem como aquelas pertencentes a ex-funcionários. Eles permanecem intactos até serem excluídos permanentemente, postando uma violação ou incidente de segurança.

Sem MFA para contas de acesso remoto privilegiado: A falta de autenticação forte pode permitir o acesso não autorizado e desimpedido a sistemas críticos com apenas uma única credencial. Mesmo com as credenciais legítimas em mãos, o invasor não teria obtido acesso ao sistema se tivesse sido desafiado novamente a provar sua identidade.

Não ter uma solução unificada para acesso à rede em vigor: VPNs com controles de acesso insatisfatórios agora são considerados inseguros e não confiáveis para acesso remoto. O que organizações críticas como a Colonial Pipeline precisam é de um console central que unifique todo o acesso à rede corporativa – no local, bem como por meio de nuvens públicas e privadas – com controles de acesso rigorosos e monitoramento de sessão.

Falta de detecção de ameaças e controles de prevenção adequados: Mesmo que um invasor consiga entrar na rede corporativa, ter ferramentas de monitoramento abrangentes pode disparar alarmes e avisos oportunos para os supervisores em questão encerrarem instantaneamente sessões suspeitas. Sistemas de detecção de intrusão, sistemas de prevenção de intrusão, ferramentas analíticas baseadas em AI e ML e soluções SIEM podem monitorar uma rede continuamente, capturar qualquer informação sobre possíveis ameaças e malware e relatá-los aos administradores para ações preventivas. Já é hora de as organizações modernas implementarem tecnologias avançadas para obter insights significativos e conter os ataques cibernéticos no centro.

Incapacidade de rastrear prontamente as atividades realizadas durante a sessão: Demorou mais de uma semana para que os investigadores verificassem toda a rede em busca de novas vulnerabilidades. Uma trilha de auditoria abrangente de eventos realizada durante a sessão, junto com gravações de sessão à prova de violação, poderia ter acelerado o processo de inspeção.

Segmentação de rede deficiente: O ataque teve como alvo os sistemas de TI da Colonial Pipeline, mas como eles estavam conectados à unidade operacional, a empresa teve que desligar imediatamente todo o gasoduto. O fracasso da Colonial Pipeline em manter sua rede segmentada – de modo que não se possa pular facilmente de uma divisão corporativa para outra – foi fundamental para o sucesso do ataque, destacando a falta de ciber-higiene adequada.

Como construir uma postura de segurança holística para impedir ataques de ransomware

Para obter proteção completa contra ataques de ransomware, as organizações exigem várias camadas de defesa. Uma postura de segurança cibernética madura e resiliente combina uma variedade de soluções de segurança de TI que funcionam de forma integrada para proteger contra ameaças. Aqui estão algumas dicas de especialistas para aumentar sua defesa contra ransomware.

Proteja sua plataforma de e-mail e eduque os funcionários sobre phishing: O e-mail é a fonte da maioria dos ataques de ransomware, frequentemente explorados por cibercriminosos para falsificar credenciais para acesso ilegítimo à rede ou para distribuir malware diretamente. Adicione recursos avançados de proteção contra phishing e malware ao servidor de email para verificar e segregar emails de entrada, bloquear anexos anômalos e proteger contra emails de phishing de entrada.

Eduque os funcionários sobre a importância de seguir a higiene básica de segurança, como não divulgar informações pessoais ao responder um e-mail, telefonema ou mensagem de texto; estar ciente da aparência de e-mails e anexos fraudulentos; e entrar em contato com o departamento de TI após receber ligações ou e-mails suspeitos.

Invista em software antivírus e firewalls: Instale o software antivírus em todos os dispositivos e atualize-os com patches de segurança regularmente. Além disso, instale um firewall e configure-o para limitar o tráfego para a rede apenas às portas e endereços IP necessários.

Atualize seus sistemas regularmente: Manter todos os sistemas atualizados com patches é importante para se proteger contra ransomware, uma vez que os invasores costumam aproveitar brechas de segurança e bugs no software ou sistemas operacionais para espalhar malware após obter acesso.

Realize avaliações de risco regulares: Avalie os riscos de segurança periodicamente para mitigar proativamente os riscos potenciais, identificando vulnerabilidades e deficiências de segurança em toda a rede corporativa. 

Faça backup de seus sistemas periodicamente: Obtenha o básico certo: a chave para evitar pagamentos de resgate é ter backups robustos. Faça backup dos dados regularmente – localmente e na nuvem – com criptografia forte e acesso controlado para garantir que seus dados corporativos estejam protegidos. Os especialistas em segurança recomendam manter pelo menos três cópias dos dados da sua empresa, em diferentes dispositivos ou mídias de armazenamento, e ter um deles totalmente offline e acessível apenas fisicamente.

Invista em uma solução forte de gerenciamento de acesso privilegiado: Embora seja verdade que os invasores hoje em dia empregam métodos e ferramentas sofisticados, são mais frequentemente privilégios administrativos abertos e credenciais comprometidas que lhes dão acesso inicial à infraestrutura crítica. Mesmo para o recente ataque a uma estação de tratamento de água da Flórida, bastou uma senha desprotegida para o perpetrador não identificado acessar e gerenciar os sistemas de controle remotamente.

Dito isso, é crucial para as organizações garantir uma governança completa de contas com privilégios, gerenciar o acesso a sistemas críticos e monitorar sessões remotas com privilégios em tempo real com auditoria e relatórios abrangentes. Resumindo, uma solução robusta de gerenciamento de acesso privilegiado (PAM) pode provar ser a primeira linha de defesa ideal para empresas.

ManageEngine PAM360 é uma solução PAM de nível empresarial que defende as empresas contra o crime cibernético por meio de governança de acesso privilegiado poderoso, automação de fluxo de trabalho suave e análises avançadas. O PAM360 se integra prontamente com várias ferramentas de segurança de TI, como SIEM, análise de ameaças baseada em AI e ML e scanners de vulnerabilidade, permitindo que os administradores obtenham controle completo sobre todas as atividades privilegiadas em toda a rede corporativa.