Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Prevenir um ataque cibernético se torna uma decisão vitalDiego Samuel Espitia 14 septiembre, 2020 Nos últimos anos, o número de incidentes em redes de infraestrutura crítica e sistemas industriais aumentou significativamente . Já ocorreram ataques com alto grau de complexidade e conhecimento sobre os elementos afetados e sobre como aproveitar a deficiência histórica em implementações de segurança que este tipo de rede possui. Isso gera um alto risco para a vida das pessoas que trabalham nessas indústrias ou que delas dependem, bem como nas infraestruturas críticas dos países. Em artigos anteriores, falamos sobre como as redes industriais baseiam sua segurança em manter os sistemas industriais isolados. Isso é o que conhecemos como AirGap , mas é um isolamento cada vez mais improvável e ineficiente. A falsa confiança de segurança que esse isolamento gera permitiu que os ciberataques aproveitassem as ferramentas de controle remoto (RAT) para se infiltrar nas redes de TI e chegar às redes OT , de onde se aproveitam de vulnerabilidades em sistemas industriais sem serem detectados. As medidas de segurança demoraram a chegar a esses tipos de ambientes devido à falta de conhecimento em segurança cibernética de OT , ao isolamento que é gerado nas empresas entre as equipes de TI e OT ou simplesmente por causa da suposição errônea de que eles dispositivos não podem ser alcançados por criminosos . No entanto, no início deste ano, o MITER publicou o framework conhecido como ATT & CK (Tactics, Techniques and Common Adversary Knowledge), especializado para sistemas de controle industrial. Fonte: https://collaborate.mitre.org/attackics/index.php/Main_Page Essa matriz tem sido muito importante nas investigações de incidentes ocorridos nos últimos seis meses, conforme apontado por nossa parceira Nozomi Networks em seu relatório do primeiro semestre de 2020 . Este relatório mostra como a pandemia COVID-19 está sendo usada para realizar ataques de ransomware e expansão de botnet em sistemas OT e IoT, além de analisar as táticas e técnicas utilizadas. Estudo de caso com MITER ATT & CK passo a passo Para entender como essa matriz é aplicada, é melhor analisar um ataque com ela. Neste caso, vamos pegar uma ameaça persistente avançada (APT) chamada GreyEnergy , que foi tornada pública em novembro de 2018, mas cujas primeiras detecções são em incidentes na rede elétrica polonesa em 2015 e posteriormente em incidentes no setor financeiro durante 2018 . O ataque inicial utilizou uma técnica bem conhecida por todos nós que trabalhamos com segurança e à qual todos os usuários da Internet estão permanentemente expostos, que é o phishing . É também uma técnica cujo uso aumentou significativamente nesta época de pandemia. Portanto, o acesso inicial ao mapa ATT & CK encontra-se no Anexo SpearPhishing , já que o ataque começa com um documento do Word que contém uma macro maliciosa com os comandos necessários para as seguintes fases de execução, evasão e persistência. Como a carga maliciosa está em uma macro, o que requer interação do usuário, na seção de execução do mapa ATT e CK, a Execução do usuário deve ser marcada . Para conseguir persistência, o malware procura servidores web com vulnerabilidade para se esconder, conseguindo disfarçar-se na rede, portanto no mapa ATT & CK, o Hooking é marcado em Persistência e Mascaramento em Evasão , devido ao empacotador que utiliza para ocultar o código malicioso real. Para detectar alvos na rede afetada, o malware usa várias ferramentas amplamente conhecidas que podem ser agrupadas na descoberta de mapas ATT e CK, como varredura de serviço de rede e detecção de rede , gerenciando para detectar os serviços vulneráveis mencionados acima para movimento lateral, que no mapa ATT & CK seria Exploração de Serviços Remotos. Para a execução de comandos, utiliza uma técnica bem conhecida entre os sistemas C&C, que é implantar proxy dentro da rede para redirecionar solicitações a computadores externos da rede, ocultando o tráfego dos sistemas de monitoramento de segurança da rede entre tráfego interno. Portanto, na fase de inibição das funções de resposta, os mapas de Download de Programa e Supressão de Alarmes são marcados no mapa ATT & CK , pois utilizam um programa externo como procy e suprimem o alarme após se esconder no tráfego interno. As duas últimas fases dentro do mapa ATT & CK são mais complexas de analisar porque, sendo um malware modular, é possível que o processo que ele controla que deseja prejudicar mude dependendo do caso e, portanto, de seu impacto final. Porém, nas amostras coletadas, constatou-se que se procurava interromper os serviços gerando apagamento nos discos rígidos dos sistemas de interface humana (HMI), de forma que o impacto final seria dano patrimonial ou negação de controle. Desta forma, o que deveríamos marcar seria Parada do Serviço e Danos à Propriedade . Nas redes industriais esse impacto é muito crítico, pois ao perder o controle ou visibilidade dos controles operacionais, não há outra saída a não ser interromper o serviço em uma parada de emergência para mitigar a possibilidade de perdas humanas, danos ambientais ou danos físicos. , o que costuma gerar perdas econômicas e de reputação muito graves para as empresas afetadas. Conclusões Como se pode verificar, o MITER ATT & CK permite determinar com clareza as táticas e técnicas utilizadas pelos cibercriminosos nos ciberataques dirigidos a ambientes industriais, além de possibilitar a obtenção de informações comuns coletadas em outros incidentes que auxiliem na implantação de sistemas de monitoramento especializados e aplicação de sistemas de inteligência de ameaças para minimizar os impactos que podem ocorrer no caso de um incidente. Em cada uma das fases, existem possíveis indicadores de comprometimento, como o hash do arquivo usado em phishing (f50ee030224bf617ba71d88422c25d7e489571bc1aba9e65dc122a45122c9321) onde, como você pode ver abaixo, a macro contém o malware . Isso teria sido detectado com nossa ferramenta DIÁRIO e os sistemas de controle teriam permitido evitar o início do incidente. Esta metodologia permite garantir as três etapas de controle dos sistemas industriais, conforme explicamos nos artigos introdutórios aos sistemas industriais há alguns anos. A correta medição dos dados deve ser garantida para que a sua avaliação e processamento garantam o cumprimento das normas de trabalho seguro. Devido à gravidade de um incidente em ambientes industriais, é fundamental que esses frameworks de segurança comecem a ser considerados nesses ambientes para que o monitoramento e resposta a incidentes cibernéticos, bem como os sistemas de controle remoto, gerenciem melhor os requisitos de segurança e evite literalmente colocar vidas em risco. Nossa história com GovertisAdquirimos o iHackLabs para promover o treinamento de nossos hackers éticos
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...