0
0
Em março de 2020, a KrebsOnSecurity alertou o gigante sueco de segurança Gunnebo Group de que hackers invadiram sua rede e venderam o acesso a um grupo criminoso especializado em implantar ransomware. Em agosto, Gunnebo disse que havia frustrado com sucesso um ataque de ransomware, mas esta semana surgiu que os intrusos roubaram e publicaram online dezenas de milhares de documentos confidenciais — incluindo esquemas de cofres de bancos de clientes e sistemas de vigilância.
O Grupo Gunnebo é uma empresa multinacional sueca que fornece segurança física para uma variedade de clientes em todo o mundo, incluindo bancos, agências governamentais, aeroportos, cassinos, joalherias, agências fiscais e até mesmo usinas nucleares. A empresa tem operações em 25 países, mais de 4.000 funcionários e bilhões de receitas anualmente.
Agindo em uma dica de Milwaukee, a empresa de inteligência cibernética Hold Security,com sede em Wis, KrebsOnSecurity, em março, disse à Gunnebo sobre uma transação financeira entre um hacker mal-intencionado e um grupo de cibercriminosos especializado em implantar ransomware. Essa transação incluiu credenciais para uma conta RDP (Remote Desktop Protocol, protocolo de desktop remoto), aparentemente criada por um funcionário do Grupo Gunnebo que desejava acessar a rede interna da empresa remotamente.
Cinco meses depois, a Gunnebo revelou que havia sofrido um ataque cibernético visando seus sistemas de TI que forçou o desligamento de servidores internos. No entanto, a empresa disse que sua reação rápida impediu que os intrusos espalhassem o ransomware por seus sistemas, e que o impacto global duradouro do incidente era mínimo.
No início desta semana, a agência de notícias sueca Dagens Nyheter confirmou que os hackers publicaram recentemente online pelo menos 38.000 documentos roubados da rede de Gunnebo. Linus Larsson, o jornalista que divulgou a história, diz que o material hackeado foi enviado a um servidor público durante a segunda quinzena de setembro, e não se sabe quantas pessoas podem ter tido acesso a ele.
Larsson cita o CEO da Gunnebo, Stefan Syrén, dizendo que a empresa nunca considerou pagar o resgate que os atacantes exigiram em troca de não publicar seus documentos internos. Além disso, Syrén pareceu minimizar a gravidade da exposição.
“Eu entendo que você pode ver os desenhos como sensíveis, mas não os consideramos sensíveis automaticamente”, teria dito o CEO. “Quando se trata de câmeras em um ambiente público, por exemplo, metade do ponto é que elas devem ser visíveis, portanto, um desenho com posicionamentos de câmera em si não é muito sensível.”
Ainda não está claro se as credenciais de RDP roubadas foram um fator neste incidente. Mas a senha da conta Gunnebo RDP — “password01” — sugere que a segurança de seus sistemas de TI pode ter faltado em outras áreas também.
Depois que este autor postou um pedido de contato da Gunnebo no Twitter,a KrebsOnSecurity ouviu de Rasmus Jansson, gerente de conta da Gunnebo, especializado em proteger os sistemas de clientes contra ataques de pulso eletromagnético (EMP) ou interrupções, pequenas rajadas de energia que podem danificar equipamentos elétricos.
Jansson disse que repassou as credenciais roubadas aos especialistas em TI da empresa, mas que não sabe quais ações a empresa tomou em resposta. Contatado por telefone hoje, Jansson disse que deixou a empresa em agosto, bem na época em que Gunnebo divulgou o ataque frustrado de ransomware. Ele se recusou a comentar os detalhes do incidente de extorsão.
Os atacantes do Ransomware geralmente passam semanas ou meses dentro da rede de um alvo antes de tentar implantar malware em toda a rede que criptografa servidores e sistemas de desktop a menos e até que uma demanda de resgate seja atendida.
Isso porque ganhar a base inicial raramente é a parte difícil do ataque. Na verdade, muitos grupos de ransomware agora têm um constrangimento tão grande de riquezas a esse respeito que eles levaram a contratar testadores de penetração externa para realizar o trabalho grunhido de escalar essa base inicial em controle completo sobre a rede da vítima e quaisquer sistemas de backup de dados — um processo que pode ser extremamente demorado.
Mas antes de lançar seu ransomware, tornou-se prática comum para esses extorsionistas descarregar o máximo de dados sensíveis e proprietários possível. Em alguns casos, isso permite que os intrusos lucrem mesmo que seu malware de alguma forma não faça seu trabalho. Em outros casos, as vítimas são solicitadas a pagar duas demandas de extorsão: uma por uma chave digital para desbloquear sistemas criptografados e outra em troca de uma promessa de não publicar, leiloar ou negociar quaisquer dados roubados.
Embora possa parecer irônico quando uma empresa de segurança física acaba tendo todos os seus segredos publicados online, a realidade é que alguns dos maiores alvos de grupos de ransomware continuam sendo empresas que podem não considerar a segurança cibernética ou sistemas de informação como sua principal preocupação ou negócios — independentemente do quanto possa estar apostando nessa tecnologia.
De fato, as empresas que persistem em ver a segurança cibernética e física como de alguma forma separadas parecem estar entre os alvos favoritos dos atores de ransomware. Na semana passada, um jornalista russo publicou um vídeo no Youtube afirmando ser uma entrevista com os cibercriminosos por trás da linha de ransomware REvil/Sodinokibi, que é o trabalho manual de um grupo criminoso particularmente agressivo que esteve por trás de alguns dos maiores e mais caros ataques de resgate nos últimos anos.
No vídeo, o representante da REvil afirmou que os alvos mais desejáveis para o grupo eram empresas agrícolas, fabricantes, seguradoras e escritórios de advocacia. O ator da REvil alegou que, em média, cerca de uma em cada três de suas vítimas concorda em pagar uma taxa de extorsão.
Mark Arena, CEO da empresa de inteligência de ameaças de cibersegurança Intel 471,disse que, embora possa ser tentador acreditar que as empresas especializadas em segurança da informação normalmente têm melhores práticas de segurança cibernética do que as empresas de segurança física, poucas organizações têm uma compreensão profunda de seus adversários.
Arena disse que essa é uma deficiência particularmente aguda com muitos provedores de serviços gerenciados (MSPs), empresas que fornecem serviços de segurança terceirizados para centenas ou milhares de clientes que podem não ser capazes de contratar profissionais de segurança cibernética.
“A dura e infeliz realidade é que a segurança de várias empresas de segurança é uma merda”, disse Arena. “A maioria das empresas tende a ter uma falta de compreensão contínua e atualizada dos atores de ameaça que enfrentam.”
FONTE: KREBS ON SECURITY