Antes, as medidas de segurança nacional envolviam principalmente armas, mísseis e armamentos. Agora, com o aumento da dependência de TI para defesa, eles evoluíram para incluir a segurança cibernética como um de seus principais elementos. Embora a maioria dos países ao redor do mundo tenha adotado as melhores práticas para mitigar ameaças cibernéticas, alguns correm maior risco do que outros devido à falta de aplicação adequada de políticas de TI, protocolos de segurança cibernética e leis.
Antes de nos aprofundarmos nas medidas de segurança de TI que as empresas devem tomar para mitigar a crescente ameaça de ataques cibernéticos no clima atual, vamos dar uma olhada em três grandes ataques cibernéticos que os governos combateram nos últimos 12 meses e como eles se recuperaram.
1. O ataque de ransomware ao Colonial Pipeline
Um dos maiores ataques cibernéticos em 2021 foi o ataque de ransomware ao Colonial Pipeline, o maior oleoduto refinado dos Estados Unidos, que transporta regularmente petróleo e gás de Houston, Texas, para o porto de Nova York. Este ataque é famoso por sua simplicidade e velocidade. Tudo começou com uma senha de conta VPN simples que foi exposta devido a um funcionário da Colonial Pipeline reutilizá-la para outra conta. Algumas fontes supõem que os invasores provavelmente obtiveram as credenciais da dark web.
O ataque começou em 6 de maio de 2021, quando os invasores se infiltraram nos sistemas digitais do pipeline e roubaram 100 GB de dados em um dia. O FBI identificou os atacantes como DarkSide, um grupo russo de ransomware. A nota de resgate foi enviada em 7 de maio e exigia que a organização pagasse 75 bitcoins, o que equivale a aproximadamente US$ 4 milhões.
O pipeline teve que ficar offline imediatamente, fechar todas as suas operações e desligar por quase uma semana. A Colonial Pipeline fornece mais de 45% do combustível na Costa Leste e é fornecedora de combustível para aviação, diesel, petróleo e combustível para fins militares. Portanto, as repercussões do ataque foram fortemente sentidas, com várias companhias aéreas adiando voos, cidadãos estocando combustível em um frenesi louco e os preços dos combustíveis aumentando em geral.
Sem saber a profundidade da invasão e não querendo correr nenhum risco, o CEO Joseph Blount pagou o valor total do resgate aos invasores um dia após a nota de ransomware ter sido descoberta por um funcionário após fazer login em seu sistema. Em troca do resgate, a empresa recebeu uma chave de descriptografia que permitiu desbloquear os arquivos criptografados, mas uma semana se passaria antes que pudesse reiniciar o pipeline. Esse ataque acabou custando milhões de dólares à empresa.
O governo Biden-Harris declarou estado de emergência e o Departamento de Justiça (DOJ) montou uma Força-Tarefa de Ransomware e Extorsão Digital para investigar o ataque. A força-tarefa conseguiu recuperar 63,7 dos 75 bitcoins pagos à DarkSide, avaliados em US$ 2,3 milhões. Blount mais tarde reconheceu o papel fundamental do FBI na recuperação de partes do resgate e disse estar grato por seu “trabalho rápido e profissionalismo” na resposta ao ataque.
De acordo com um comunicado de imprensa do DOJ, o FBI teve uma abordagem testada pelo tempo para seguir o dinheiro que permitiu acessar a senha do Bitcoin e recuperar a maior parte do resgate. Uma declaração de um agente especial do FBI revelou que havia usado um explorador de blockchain para rastrear os endereços pelos quais a DarkSide havia recebido o dinheiro.
2. O ataque cibernético ao Ministério do Trabalho e Economia Social da Espanha (MITES)
O MITES da Espanha foi atingido por um ataque cibernético em 8 de junho de 2021, e esta não foi a primeira vez que esse órgão enfrentou uma violação de segurança cibernética. Isso aconteceu logo após o ataque do ransomware Ryuk ao Serviço Público Estadual de Emprego (SEPE) da MITES em março, que atingiu quase 700 agências governamentais e derrubou os sistemas do SEPE.
Não foram revelados muitos detalhes sobre a violação e, apesar de estar sob ataque, o site oficial continuou funcionando normalmente. O ministério afirmou o seguinte no Twitter: “O MITES foi afetado por um ataque de computador. Os gerentes técnicos do Ministério e do Centro Criptológico Nacional estão trabalhando juntos para determinar a origem e restaurar a normalidade o mais rápido possível”.
O ministério teve uma resposta semelhante ao ataque do SEPE que teve como alvo as estações de trabalho de funcionários remotos. Gerardo Gutiérrez, diretor do SEPE, alegou que nenhum dado confidencial ou pessoal relacionado a informações de folha de pagamento ou seguro-desemprego foi perdido e que o ministério está trabalhando para restabelecer os serviços.
3. Rússia trava guerra cibernética na Ucrânia
A Ucrânia tem sido uma das maiores vítimas do bullying consistente e da guerra cibernética da Rússia desde a dissolução da União Soviética em 1991. Essa guerra tornou-se mais agressiva com o ataque de phishing Armageddon em 2013. Outros ataques notáveis ao longo dos anos, como BlackEnergy, Industroyer, NotPetya, e WannaCry tiveram repercussão mundial e compõem uma história intensa que acabou contribuindo à guerra em curso entre os dois países, com a decisão da Ucrânia de ingressar na União Europeia e na OTAN agravando ainda mais o governo russo.
Antes de lançar uma guerra total, a Rússia começou seu ataque com uma série de ataques cibernéticos de janeiro a março de 2022, com agentes de ameaças usando malware como WhisperGate e Saint Bot para tornar os sistemas inúteis em várias organizações na Ucrânia. Em fevereiro, várias organizações governamentais e bancos ucranianos enfrentaram ataques DDoS contínuos, e um malware chamado HermeticWiper foi detectado em vários computadores pelo Microsoft Threat Intelligence Center. Disfarçado para parecer um ransomware, o HermeticWiper é conhecido por destruir dados do registro mestre de inicialização e de outras unidades.
À medida que a guerra na Ucrânia aumenta, grupos de hackers começaram a prometer sua lealdade à Ucrânia ou à Rússia. Anonymous, um grupo hacktivista descentralizado que tem como alvo instituições governamentais, anunciou no final de fevereiro de 2022 que está apoiando a Ucrânia. Desde então, o grupo e suas afiliadas têm como alvo sites russos, hackeando sites de notícias e rádios e vazando dados. Outros grupos que realizaram ataques cibernéticos na Rússia e mostraram seu apoio à Ucrânia incluem GhostSec, Exército de TI da Ucrânia, AgainstTheWest, SHDWSec, Cyber-Partisans da Bielorrússia, KelvinSecurity, ContiLeaks e Secjuice.
Alguns grupos poderosos como o Conti ficaram do lado da Rússia na guerra. Sua mensagem em um dos fóruns clandestinos diz: “Se alguém decidir organizar um ataque cibernético ou qualquer atividade de guerra contra a Rússia, usaremos [todos] os recursos possíveis para contra-atacar as infraestruturas críticas de um inimigo”. Em retaliação, um informante, que se acredita ser ucraniano, vazou mais de 400 comunicações internas de Conti. O coletivo responsável por vazar essas informações agora está sendo chamado de ContiLeaks.
Ameaças semelhantes contra a Ucrânia foram emitidas por grupos como Stormous Ransomware, Digital Cobra Gang e The Red Bandits. Sandworm, FreeCivilian, Zatoichi, Killnet, XakNet e outros também anunciaram fidelidade à Rússia. Com a escalada da guerra entre os países que vem acontecendo há décadas, não é surpreendente ver esses grupos de hackers opostos em guerra uns com os outros.
A postura de defesa da Ucrânia inspirou a ajuda de várias superpotências e agências internacionais. Além de condenar abertamente a Rússia e Putin por suas ações e de estender refúgio, recursos e apoio diplomático, vários países ofereceram apoio de ciberdefesa à nação devastada pela guerra. Enquanto a União Europeia implantou uma equipe de resposta à segurança cibernética para ajudar a detectar e responder a ameaças, a Romênia e a Bitdefender assinaram uma parceria pro bono para ajudar a Ucrânia.
Os fóruns de hackers ucranianos viram a nação pedindo ajuda da comunidade de hackers para apoiar sua defesa cibernética. Um link do Google Docs foi compartilhado onde os voluntários dispostos a ajudar poderiam se inscrever. De acordo com a Bloomberg Quint, mais de 400.000 pessoas se apresentaram para mostrar apoio à defesa cibernética.
A Casa Branca sugere medidas imediatas e de longo prazo para evitar ciberataques
Em resposta às ações da Rússia e em antecipação a mais ataques cibernéticos, a Casa Branca divulgou uma ficha informativa que consiste em ações imediatas que as empresas americanas devem tomar e medidas de segurança cibernética de longo prazo que devem ser implementadas.
As recomendações consistem em garantir protocolos básicos como autenticação multifator, criptografia de dados, backup de dados, execução de simulações, treinamento de funcionários e implantação de ferramentas de segurança modernas para investigação, detecção e resposta. A longo prazo, o governo Biden-Harris insiste em tornar a segurança cibernética uma parte fundamental de todas as empresas.
Uma ferramenta SIEM moderna como o Log360 ajudará você a ficar atento nesses tempos difíceis, monitorando continuamente a atividade do sistema para detectar ameaças cibernéticas.
Para saber mais sobre como o Log360 pode ajudá-lo, inscreva-se para uma avaliação gratuita de 30 dias para verificar você mesmo ou solicite uma demonstração do produto com nossos especialistas em produtos.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Anupama. A.
