Interromper o ransomware e proteger a infraestrutura crítica é mais fácil do que você imagina

É essencial observar os privilégios permanentes em toda a propriedade e seguir as práticas recomendadas do setor, incluindo uma ideia chamada Zero Standing Privileges.

Do ponto de vista da segurança cibernética, os últimos meses foram movimentados para o setor industrial e manufatureiro. Em meio a ameaças de segurança cibernética iminentes na indústria, o alerta do FBI sobre o recente ransomware BlackCat/ALPHV que vitimou empresas petrolíferas alemãs e a Swissport é apenas a evidência mais recente de que a infraestrutura crítica continuará sendo um foco para os cibercriminosos que procuram causar medo e causar caos.

Embora aterrorizante, o aumento que estamos vendo em grupos de ransomware como BlackCat atacando as cadeias de suprimentos e empresas industriais não é surpreendente. O ransomware geralmente atinge os sistemas de controle industrial (ICS) ou outros ambientes de tecnologia operacional (OT) com impacto significativo; tanto o governo quanto os grupos de segurança alertam as organizações de que o ransomware representa uma ameaça crescente ao ICS.

Como BlackCat ‘morde’ suas vítimas

O incidente de ransomware BlackCat/ALPHV aproveita as credenciais do usuário comprometidas anteriormente para obter acesso inicial ao sistema da vítima. Depois que o malware estabelece o acesso, ele compromete as contas de usuário e administrador do Active Directory. O malware usa o Agendador de Tarefas do Windows para configurar objetos de política de grupo (GPOs) maliciosos para implantar ransomware. A implantação inicial do malware aproveita os scripts do PowerShell, em conjunto com o Cobalt Strike, e desabilita os recursos de segurança na rede da vítima.

A solução? É mais fácil do que pensamos

Enquanto o presidente Biden assinou uma ordem executiva pedindo uma reforma completa dos padrões de segurança cibernética da cadeia de suprimentos em todo o governo e setores privados, e espera-se que a administração esteja levando essas ameaças e ataques a sério, o setor precisa ser proativo na proteção de seus ativos. Atenuar as ameaças da maioria dos ransomwares, como o BlackCat, pode ser tão fácil quanto estabelecer um programa adequado de gerenciamento de acesso privilegiado. Requer uma abordagem metódica – apesar de descobrir e proteger as contas mais cobiçadas, é essencial observar os privilégios permanentes em toda a propriedade e seguir as práticas recomendadas do setor, que incluem uma ideia crítica chamada Zero Standing Privileges (ZSP). ZSP como parte do modelo Zero Trust é a maneira mais segura de mitigar ameaças de movimento lateral.

A ideia do ZSP é simples: remova os direitos de login 24x7x365 de todas as contas privilegiadas de todos os servidores, estações de trabalho e laptops. Você deixa os usuários padrão como estão, mas quando se trata de acesso privilegiado, ele deve ser habilitado com acesso just-in-time (JITA). JITA é a pedra angular da ZSP. Um usuário solicita acesso a uma máquina específica, em um horário específico e apenas por um período de tempo específico. Dessa forma, mesmo que as credenciais de um usuário sejam comprometidas, o raio de explosão é reduzido para um sistema, ou pior, apenas um punhado de sistemas que o mesmo usuário solicitou acesso JITA em oposição a centenas ou milhares de sistemas em que o usuário tinha privilégios permanentes.

Como as manchetes nos mostram continuamente, gerenciar seus privilégios de permanência é um dos métodos mais críticos e eficazes para evitar movimentos laterais e interromper a maioria dos incidentes. Quanto mais você esperar para abordá-lo, maiores serão suas chances de se tornar uma manchete.