0
0
Operadores de ransomware tiveram acesso ao ERP da ONU e aos sistemas da OTAN, segundo pesquisador de segurança
A Organização das Nações Unidas (ONU) admitiu que suas redes foram acessadas por invasores no início deste ano, levando a invasões subsequentes. Além disso, um analista de crimes cibernéticos relata que alertou a Organização do Tratado do Atlântico Norte (OTAN) depois de ver as credenciais de acesso de um de seus sistemas de software de planejamento de recursos empresariais sendo oferecidas para venda na dark web.
“Atacantes desconhecidos conseguiram violar partes da infraestrutura das Nações Unidas em abril”, disse a ONU, ao admitir que frequentemente é alvo de ataques cibernéticos, incluindo campanhas contínuas. “Também podemos confirmar que mais ataques foram detectados e estão sendo respondidos, relacionados à violação anterior.” As invasões foram relatadas pela primeira vez na quinta-feira, 9, pela Bloomberg.
A violação destaca até que ponto muitos dos principais governos e organizações governamentais precisam melhorar sua postura de segurança cibernética, disse Alex Holden, CTO da Hold Security, consultoria com sede em Wisconsin que analisa o submundo do crime cibernético, em declaração ao site BankInfo Security. Segundo ele, em março, um dos mesmos grupos que adquiriram credenciais de acesso à ONU também tentou vender credenciais para um portal de segurança cibernética pertencente à OTAN.
Credenciais para venda
Embora a ONU diga que a invasão ocorreu em abril, o acesso inicial parece remontar ao menos a fevereiro, disse Holden, com base no período que um operador de ameaças ofereceu para venda credenciais de acesso ao Umoja, software de gestão empresarial. O Umoja é usado para uma variedade de processos de negócios vinculados a finanças, recursos humanos e administração. A página na web do Umoja informa que ele tem cerca de 46 mil usuários em cerca de 450 locais.
Depois de ver o anúncio das credenciais do Umoja, Holden disse que sua empresa notificou a ONU em fevereiro, por meio de um parceiro. “A venda das credenciais de acesso era uma oferta privada, e não havia anúncio em um fórum da dark web onde essas credenciais costumavam ser negociadas e vendidas naquela época”, disse.
Mas, em abril, um corretor da dark web ofereceu outro conjunto de credenciais de acesso ao Umoja, segundo o CTO da Hold Security. Esse corretor é conhecido por fornecer credenciais de acesso para operadores do ransomware Nefilim. Muitas operações de ransomware têm laços estreitos com corretores de acesso, para permitir que visem de maneira econômica um grande número de vítimas em busca de lucros maiores.
A Bloomberg relata que outra consultoria de segurança cibernética, a Resecurity, com sede em Los Angeles, também viu as credenciais do Umoja à venda e alertou a ONU.
A ONU disse que já estava ciente dos problemas quando foi contatada pela Resecurity “e as ações corretivas para mitigar o impacto da violação já haviam sido planejadas e estavam sendo implementadas”. A organização disse que agradeceu à Resecurity na época “por compartilhar informações relacionadas ao incidente e confirmou a violação”.
OTAN sem MFA para ERP
Não está claro como dois grupos diferentes conseguiram capturar credenciais de login para o ERP Umoja. Mas Holden disse que um método provável seria ataques de phishing, nos quais os usuários são induzidos a revelar suas credenciais de login. Ele observou que, no momento em que as credenciais foram roubadas, a OTAN não parecia ter configurado o Umoja para usar a autenticação multifator (MFA).
Em março, Holden disse que o corretor que comercializa credenciais de acesso com ligações com o grupo Nefilim também estava vendendo credenciais de acesso para um sistema de computador afiliado ao Cyber Security Center da OTAN. Novamente, ele suspeita que o corretor teria passado essas credenciais para o Nefilim.
As credenciais estavam sendo vendidas por US$ 300 por meio de canais privados e supostamente forneciam acesso ao portal da linha de serviços de segurança cibernética da OTAN.
O Information Security Midia Group notificou o departamento de comunicação da OTAN sobre a situação em 5 de março. O departamento agradeceu e disse que investigaria.
FONTE: CISO ADVISOR