Aprendizagem com Lapsus$ - os Adolescentes Persistentes Avançados?

O novo nome quente nos ataques de ransomware é Lapsus$. Se ainda não ouviu falar deles, provavelmente já ouviu falar de algumas das empresas que eles atacaram, incluindo a Nvidia, Samsung, Okta e Microsoft - só para citar algumas. Para quem não sabe, o Lapsus$ é um grupo de hackers que se dedica ao roubo de dados e à extorsão. O grupo tem como alvo principal as corporações, e tem acumulado um conjunto bastante desconcertante de baixas globais dignas de nota.

Muitas vezes, os LAPSUS$ abusavam das fraquezas humanas dentro das empresas, como o seu departamento de TI ou de apoio ao cliente. Noutros casos, compraram tokens de login já pirateados em mercados da dark web. Normalmente, alguns profissionais de cibersegurança podem ver estas ameaças como sendo de baixo nível. A realidade é que a sofisticação não é a única métrica que torna um hacker mais ameaçador; é também a sua audácia.

Desde a utilização de tácticas de engenharia social e de troca de cartões SIM, a ataques de phishing engenhosos e ao aliciamento ostensivo de funcionários internos, os operadores de Lapsus$ capitalizam os recursos oferecidos para ganharem terreno na rede empresarial através de meios populares de VPN e Infraestrutura de Ambiente de Trabalho Virtual (VDI).

Isto realça claramente o facto de que, se os seres humanos trabalham para si, está vulnerável à engenharia social. Ninguém deve ser tratado como incorruptível. A implicação imediata para os recursos da nuvem é que deve reduzir as permissões de acesso que as pessoas têm ao mínimo realmente necessário para realizar o seu trabalho. Como a nuvem geralmente armazena recursos muito sensíveis, fornecer permissões excessivas a qualquer pessoa que possa ser violada (praticamente toda a gente!) pode causar uma exposição injustificada às jóias da coroa da organização.

Como é que estas violações ocorreram?

Utilizando predominantemente técnicas de engenharia social e de manipulação em grande escala, o grupo Lapsus$ acumulou uma lista imponente de vítimas a nível mundial. Curiosamente, os incidentes partilham uma abordagem comum: todos eles envolvem a utilização de credenciais válidas, acabando por abusar de quaisquer permissões que tenham sido concedidas a essa identidade. Estes ataques recordam-nos claramente que a autenticação (quem é você?) e a autorização (o que pode fazer?) são fundamentais para a postura de segurança. Os princípios do menor privilégio e da confiança zero nunca foram tão aplicáveis.

O que é que pode fazer?

Apesar dos seus melhores esforços em termos de autenticação e autorização, uma violação pode acontecer às mãos de pessoas internas motivadas.

Isto levanta a questão: "Como é que determina se as acções de uma entidade autorizada e de confiança são maliciosas?" Os conjuntos de permissões têm o péssimo hábito de se infiltrar e crescer com o tempo.

Como parte de uma abordagem Zero Trust Network Access (ZTNA), as organizações são encorajadas a segmentar as suas redes, a avaliar a postura dos seus dispositivos requerentes e a fornecer contextualmente o acesso a aplicações e recursos (utilizando capacidades DLP e Remote Browser Isolation ).

No malfadado caso de uma ameaça interna, as detecções baseadas em anomalias e as capacidades de análise comportamental podem ajudar a detetar e mitigar comportamentos anormais e potencialmente perigosos, construindo uma linha de base de "atividade normal" para esse contexto específico, para finalmente destacar quaisquer anomalias ou desvios para que sejam tomadas medidas rápidas.

Mas, como é óbvio, a segurança é mais do que um mero conjunto de controlos técnicos. Os profissionais de segurança devem analisar as permissões, os processos e os procedimentos utilizados pelos seus intervenientes e entidades de confiança - tanto internas como de terceiros. Os ataques acima mencionados levaram o mundo da segurança a ter em conta estes princípios fundamentais.