A Violação do Accellion Continua Ficando Pior—e Mais Cara

Views: 77
0 0
Read Time:5 Minute, 57 Second

O DRUMBEAT DE  divulgações de violação de dados são implacáveis, com novas organizações tocando o tempo todo. Mas uma série de violações em dezembro e janeiro que vieram à tona nas últimas semanas silenciosamente forneceu uma lição objetiva sobre o quão ruim as coisas podem ficar quando os hackers encontram uma incursão em dezenas de alvos em potencial—e eles estão sem lucro.

O fornecedor de firewall Accellion lançou silenciosamente um patch no final de dezembro e, em seguida, mais correções em janeiro, para resolver um cluster de vulnerabilidades em uma de suas ofertas de equipamentos de rede. Desde então, dezenas de empresas e organizações governamentais em todo o mundo reconheceram que foram violadas como resultado das falhas—e muitas enfrentam extorsão, já que o grupo de ransomware Clop ameaçou tornar os dados públicos se não pagarem.

Em 1o de março, a empresa de segurança FireEye compartilhou os resultados de sua investigação sobre o incidente, concluindo que dois grupos de hackers separados e desconhecidos realizaram a onda de hackers e o trabalho de extorsão, respectivamente. Os hackers parecem ter conexões com o grupo de crimes financeiros FIN11 e a gangue de ransomware Clop. Vítimas conhecidas publicamente até agora incluem o Reserve Bank da Nova Zelândia, o estado de Washington, a Australian Securities and Investments Commission, a Singaporean telecom Singtel, o escritório de advocacia de alto perfil Jones Day, a cadeia de supermercados Kroger e a Universidade do Colorado; na semana passada, a empresa de segurança cibernética Qualys se juntou às suas fileiras.

As quatro vulnerabilidades estão no Equipamento de Transferência de Arquivos da Accellion, essencialmente um computador dedicado usado para mover arquivos grandes e confidenciais dentro de uma rede.

“Essas vulnerabilidades são particularmente prejudiciais, porque em um caso normal um invasor tem que caçar para encontrar seus arquivos confidenciais, e é um jogo de adivinhação, mas neste caso o trabalho já está feito”, diz Jake Williams, fundador da empresa de segurança Rendition Infosec, que está trabalhando na correção de uma violação relacionada ao Accellion FTA. “Por definição, tudo o que foi enviado através do Accellion FTA foi pré-identificado como sensível pelo usuário.”

A exploração generalizada do Accellion FTA aconteceu nos últimos meses, juntamente com outras grandes farras de hackers do Estado-nação que tiveram como alvo a empresa de serviços de TI Solarwinds e o sistema de e-mail gerenciado Microsoft Exchange Server. Ambas as iniciativas parecem ter atingido milhares de empresas, mas principalmente para fins de espionagem. Os hackers Accellion, por outro lado, parecem motivados pelo lucro criminoso.

“Em todo o mundo, os atores exploraram as vulnerabilidades para atacar várias organizações governamentais federais e estaduais, locais, tribais e territoriais, bem como organizações da indústria privada, incluindo as dos setores médico, jurídico, de telecomunicações, financeiro e energético”, disse a Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna no final de fevereiro em um comunicado conjunto com autoridades internacionais. “Em alguns casos observados, o agressor posteriormente extorquiu dinheiro de organizações vitimas para impedir a divulgação pública de informações exfiltradas do aparelho Accellion.”

A Accellion tem enfatizado consistentemente que seu produto FTA, que existe há mais de 20 anos, está no final de sua vida útil. A empresa já planejava encerrar o suporte ao FTA em 30 de abril e havia descontinuado o suporte para seu sistema operacional, Centos 6, em 30 de novembro. A empresa diz que trabalha há três anos para fazer a transição dos clientes da FTA para sua nova plataforma, a Kiteworks.

“Desde que tomou conhecimento desses ataques, nossa equipe tem trabalhado 24 horas por dia para desenvolver e lançar patches que resolvam cada vulnerabilidade FTA identificada e apoiem nossos clientes afetados por esse incidente”, disse o CEO da Accellion, Jonathan Yaron, em um comunicado na segunda-feira passada.

Os socorristas a incidentes dizem, no entanto, que o Accellion demorou a levantar o alarme sobre o risco potencial para os usuários do TLC.

“Os dias zero do Accellion foram particularmente prejudiciais porque os atores estavam explorando em massa essa vulnerabilidade rapidamente, e a gravidade disso não estava sendo comunicada pela Accellion”, diz David Kennedy, CEO da consultoria corporativa de resposta a incidentes TrustedSec. “Tivemos vários clientes que estavam entrando em contato com a Accellion para entender o impacto sem qualquer resposta. Havia uma grande janela de tempo para a exploração ativa.”

A empresa enfrenta várias ações judiciais no norte da Califórnia e no tribunal estadual de Washington como resultado das intrusões generalizadas.

“Em um caso normal, um invasor tem que caçar para encontrar seus arquivos confidenciais e é um jogo de adivinhação, mas neste caso o trabalho já está feito.”

JAKE WILLIAMS, RENDITION INFOSEC

Provavelmente há mais vítimas do Accellion por aí, e nem todas as vítimas conhecidas tiveram amostras de seus dados vazadas nos sites da Clop. Brett Callow, pesquisador de ameaças da empresa antivírus Emsisoft, diz que o grupo ransomware vem liberando suas demandas de extorsão e dados vazados correspondentes de um punhado de vítimas por semana. É possível, diz ele, que eles estejam liberando os dados lentamente para acompanhar a logística de gerenciar os pedidos de extorsão, e que muito mais está por vir.

“Com ataques como esses, que são realizados através de grupos que buscam lucrar com hackers, muitas vezes não vemos grande exploração de uma só vez”, diz Kennedy, da TrustedSec. “Isso foi bem elaborado, pensado e executado por esses adversários específicos para maximizar o ganho monetário para os ataques.”

Os dispositivos Accellion ficam no local, o que significa que os atacantes tiveram que procurar equipamentos vulneráveis nas redes dos alvos. Mas os respondedores a incidentes dizem que a situação também aumenta o espectro de quão catastrófica seria se tipos semelhantes de vulnerabilidades ocorressem em serviços de nuvem pública, como os oferecidos pela Amazon Web Services, Google Cloud ou Microsoft Azure. O efeito de uma chave que abre muitas portas seria amplificado ainda mais.

“A nuvem pública é absolutamente ótima, exceto quando não é”, diz Callow da Emsisoft. “Os dados que estão na nuvem podem ser tão vulneráveis quanto os dados no local. Há um equívoco de que usar a nuvem torna seus dados automaticamente mais seguros, mas esse não é necessariamente o caso.”

Em um incidente no final de 2020, por exemplo, centenas de organizações em todo o mundo, incluindo universidades e instituições de caridade, sofreram violações de dados por causa de vulnerabilidades na plataforma de nuvem Blackbaud.

“Isso absolutamente poderia acontecer em um provedor de nuvem também”, diz Williams, da Rendition Infosec. “A única coisa com dispositivos locais como o FTA é que o código é mais fácil de inspecionar quanto a vulnerabilidades”, porque os atacantes podem obter os próprios dispositivos.

Para um produto como o FTA que está no final de sua vida útil, os atacantes certamente guardaram o pior para o final. Mas dado que pode levar anos para que as organizações realmente façam a transição do equipamento de rede legado, mais violações relacionadas ao TLC podem vir à tona, e outras ainda podem ocorrer no futuro em dispositivos não corrigidas.

FONTE: WIRED

Previous post Aprenda a Hackear: 18 Cursos Que Ensinam Tudo Sobre Hacking Ético
Next post LGPD: Via Varejo sai na frente e cria portal para cliente consultar dados que empresa armazena sobre eles

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *