.png)
Elevando o nível dos atacantes: como a microssegmentação pode proteger as organizações contra ataques semelhantes aos do Kaseya
Uma razão pela qual os fornecedores de segurança de TI nunca podem baixar a guarda é a inovação constante proveniente da comunidade de crimes cibernéticos. O conhecimento se espalha por toda parte em fóruns clandestinos com uma velocidade que pode surpreender muitas organizações. Então, quando vimos algumas das técnicas usadas no infame Campanha SolarWinds aplicado nos recentes ataques de ransomware da Kaseya, não deveríamos ter ficado surpresos.
No entanto, ao implantar a microssegmentação nos lugares certos, as organizações poderiam ter tornado a vida muito mais difícil para os bandidos, tanto ao minimizar o risco inicial exploração de dia zero e bloqueando as comunicações subsequentes de comando e controle.
O que aconteceu no ataque de Kaseya?
Kaseya fornece software principalmente para provedores de serviços gerenciados (MSPs) para simplificar tarefas essenciais de TI, como aplicação de patches e monitoramento remoto, para empresas de pequeno e médio porte. Como foi o caso do software SolarWinds, o Kaseya VSA O produto que foi alvo desse ataque recebe acesso altamente privilegiado para realizar suas principais tarefas de monitoramento e gerenciamento remoto de redes e dispositivos de computação, tornando-o a escolha ideal para espalhar malware por toda parte.
Um benefício adicional para o Afiliados do ransomware REvil por trás do ataque está a natureza dos clientes da Kaseya. Como MSPs, cada um deles tem vários clientes próprios que os atacantes podem infectar e extorquir. Esse é um ROI muito bom para cibercriminosos que buscam ganhar dinheiro com facilidade.
Kaseya detalhou sua resposta ao ataque. O fornecedor foi notificado pela primeira vez sobre uma violação em 2 de julho, pouco antes do fim de semana do feriado nos EUA. Parece que os agentes da ameaça usaram um exploração de desvio de autenticação de dia zero na interface web do Kaseya VSA local. Isso os ajudou a obter uma sessão autenticada, carregar sua carga útil e, em seguida, executar comandos por meio de injeção de SQL.
Com acesso aos servidores Kaseya VSA dos MSPs, eles conseguiram enviar uma atualização falsa para os clientes dessas organizações, apelidada de “Kaseya VSA Agent Hot-fix”, que na verdade era REVIL/Sodinokibi ransomware.
Acredita-se que menos de 60 MSPs de um potencial de 40.000 clientes tenham sido afetados. Mas o impacto indireto significou que os clientes posteriores dos MSPs foram infectados com ransomware, totalizando cerca de 1.500 organizações em todo o mundo, de escolas a supermercados.
Um patch para a vulnerabilidade de dia zero explorada foi lançado, mas para essas empresas comprometidas, é tarde demais.
Como a microssegmentação pode ajudar: tráfego de entrada
Os MSPs poderiam ter mitigado a violação inicial restringindo o acesso administrativo à interface web do Kaseya VSA. Dessa forma, somente usuários autorizados específicos de um pequeno conjunto de anfitriões do bastião seria capaz de acessar o software Kaseya nas portas de gerenciamento.
Na verdade, eles estariam usando a microssegmentação para reduzir a superfície de ataque, colocando barreiras extras no caminho dos cibercriminosos para que eles tivessem que trabalhar muito mais para implantar uma exploração de dia zero. Combine isso com a autenticação multifatorial para esses usuários autorizados limitados e você tornará exponencialmente mais difícil para os cibercriminosos invadirem sua rede.
Ao forçá-los a passar mais tempo e fazer mais “barulho” enquanto pesquisam na rede em busca de uma porta destrancada, você também ajuda suas ferramentas de detecção e resposta a ameaças a “ouvi-los” enquanto eles se escondem no escuro.
Como a microssegmentação pode ajudar: tráfego de saída
A segunda maneira pela qual a microssegmentação ajuda é com a comunicação de saída de terminais infectados para a Internet.
Em algum momento, os cibercriminosos geralmente precisam se comunicar com seu servidor de comando e controle (C&C) para fornecer instruções e fazer o download cargas maliciosas. Ao garantir que as políticas limitem a conectividade de saída da infraestrutura da Kaseya apenas a endereços IP conhecidos e pré-aprovados, você pode impedir que os invasores continuem. Se os criminosos não conseguirem se comunicar com seus próprios servidores, não poderão prosseguir para a próxima fase do ataque.
Zero Trust começa com a segmentação
Para proteger sua organização contra ataques de ransomware como o Kaseya e o SolarWinds, as organizações precisam se desenvolver de forma robusta e abrangente Confiança zero políticas e práticas em toda a sua infraestrutura de TI. E o Zero Trust começa com a segmentação, pois as violações acontecerão e os criminosos encontrarão uma porta destrancada em algum lugar da sua rede. A chave é garantir que eles não possam ir mais longe.
Não há solução mágica na segurança. Mas, ao aplicar uma microssegmentação como essa, você tem uma grande chance de tornar a vida significativamente mais difícil para seus atacantes, pelo menos aumentando as chances de detecção e, idealmente, forçando-os a desistir e seguir em frente.
