Depois de inúmeras violações de alto nível nas mãos de grupos de cibercriminosos, a Cisco não tem, sem dúvida, qualquer prazer em confirmar uma violação da sua rede empresarial num recente ataque de extorsão do grupo de ransomware Yanluowang.
Com os relatórios do sector a confirmarem que as credenciais de um funcionário da Cisco foram comprometidas com êxito, a notícia serve como mais um lembrete do quão destrutivo pode ser o abuso do acesso remoto.
Figura 1. Ameaças de resgate do Yanluowang. Fonte: Twitter
Neste caso, o abuso inicial da VPN da Cisco foi auxiliado por credenciais empresariais roubadas da conta Google pessoal do funcionário da Cisco.
Uma vez autenticados (graças a mais técnicas de engenharia social e phishing de voz), os atacantes obtiveram acesso às redes empresariais da Cisco, registaram uma série de dispositivos para autenticação multi-fator e, por fim, exfiltraram dados para fins de resgate e extorsão.
Mais uma vez, tal como as Tácticas, Técnicas e Procedimentos (TTP) utilizadas por grupos semelhantes como o Lapsus$ e o UNC2447, vemos que o acesso remoto autenticado através de VPN é um vetor crítico de ameaça que ajuda no roubo de dados. O grupo Yanluowang afirma ter roubado cerca de 2,8 GB de dados.
Conforme declarado pelas próprias equipas de segurança da Cisco, o atacante aumentou os privilégios para o nível de administrador, permitindo-lhe manobrar dentro da rede e iniciar sessão com êxito em vários sistemas. Aqui reside o risco crítico dos movimentos laterais facilitados pelo acesso VPN sem restrições.
Porque é que estas violações ocorrem?
As forças de trabalho híbridas que esbatem as linhas entre as aplicações pessoais na nuvem e as aplicações empresariais apresentam desafios únicos e riscos acrescidos. Infelizmente, estes não são os tipos de riscos que podem ser mitigados com alguns produtos pontuais diferentes!
As técnicas de engenharia social e de phishing utilizadas pelos cibercriminosos não são novidade. No entanto, a tendência contínua de funcionários de empresas serem enganados por esquemas convincentes não pode ser ignorada.
Figura 2. Correspondência de resgate dos atacantes para a equipa da Cisco. Fonte: Twitter
À medida que as forças de trabalho híbridas continuam a crescer, os atacantes têm cada vez mais em vista a obtenção de credenciais de acesso remoto. Porquê? A grande maioria das empresas ainda não abandonou as suas tecnologias VPN tradicionais que concedem acesso ilimitado a ambientes empresariais depois de autenticadas.
Assim que estes atacantes adquirem as ferramentas e credenciais de acesso remoto necessárias, normalmente desviam os seus esforços para enganar as vítimas utilizando tácticas de engenharia social para contornar as verificações de Autenticação Multi-Fator que normalmente se seguem.
A Rede Privada Virtual (VPN) tradicional introduz o risco de exposição excessiva dos dados, uma vez que qualquer utilizador remoto com chaves de início de sessão válidas pode obter acesso completo a toda a rede interna da empresa e a todos os recursos nela existentes.
Tal como os trabalhadores híbridos normalmente concordam quando trabalham remotamente, pode apostar que os agentes de ameaças estão bem cientes do valor do acesso remoto!
No contexto deste incidente que envolveu a Cisco, é evidente como o acesso remoto comprometido, os movimentos laterais e a utilização indevida de privilégios podem ser prejudiciais até para as maiores empresas de tecnologia.
O que é que pode fazer?
Dada a competência comprovada do agente da ameaça na utilização de uma vasta gama de tácticas para obter acesso inicial, a formação dos utilizadores é um requisito vital para contrariar as técnicas de contorno da autenticação multifactor.
Tendo em conta a utilização indevida de privilégios administrativos por parte do atacante, aplique verificações rigorosas dos dispositivos, aplicando controlos mais rigorosos para limitar ou bloquear o registo e o acesso de dispositivos não geridos ou desconhecidos a aplicações, redes e serviços empresariais.
Figura 3. Skyhigh Security: Segmente redes privadas e aplicações com ligações directas a aplicações Zero Trust
A segmentação da rede é outro controlo de segurança essencial que as organizações devem utilizar, uma vez que proporciona uma proteção melhorada para activos de elevado valor e ajuda a evitar movimentos laterais e tentativas de exfiltração de dados em situações em que um adversário consegue obter acesso inicial ao ambiente.
Para ajudar a adotar esta orientação, as organizações devem evitar ter um único tubo de entrada e saída da sua rede. Em uma arquitetura Zero Trust, as redes são segmentadas em fragmentos menores, onde cargas de trabalho específicas estão contidas. Cada fragmento pode ter os seus próprios controlos de entrada e saída, verificações de postura, controlos de acesso contextual, protecções de dados e muito mais para minimizar o "raio de explosão" do acesso não autorizado.
Com uma metodologia Zero Trust, aumenta a dificuldade de propagação de agentes não autorizados nas suas redes, reduzindo assim o movimento lateral de ameaças.
À medida que os dados continuam a ser espalhados pelas nossas infra-estruturas de nuvem para permitir a produtividade, certifique-se de que não só permite controlos de colaboração com conhecimento de conteúdos entre aplicações de nuvem, como também implementa capacidades de Data Loss Prevention na nuvem para evitar sacrificar a segurança às mãos de uma simples sessão VPN comprometida.