0
0
Os ataques de controle de contas são como a história amplamente contada em uma fogueira sobre uma babá que recebe uma série de telefonemas ameaçadores que são rastreados “de dentro de casa”.
O medo do desconhecido chega muito perto de casa. Os corretores de acesso inicial estão intimamente relacionados a ataques de controle de contas e ambos estão vinculados a ransomware. Agora, parece provável que os agentes de acesso inicial (IABs) e os ataques de controle de contas estejam de olho nos dispositivos habilitados para Internet das Coisas. Em vez de a chamada vir de dentro de casa, o ataque vem de dentro do telefone (habilitado para VoIP, é claro).
O papel dos corretores de acesso inicial em ataques de ransomware
O aumento do trabalho remoto contribuiu para o aumento de ataques de ransomware nos últimos anos. Com mais funcionários trabalhando em casa, as organizações precisam contar com tecnologias de acesso remoto, como protocolo de área de trabalho remota (RDP) e redes privadas virtuais (VPNs), que fornecem aos invasores uma maneira fácil de obter acesso inicial a uma rede.
Os ataques de controle de conta são frequentemente usados como meio de obter acesso inicial a uma rede para realizar um ataque de ransomware. Em um ataque de controle de conta, o invasor geralmente usa credenciais de login roubadas ou compradas para obter acesso não autorizado às contas online da vítima.
IABs, também conhecidos como corretores de violação, fornecem acesso a sistemas de computador hackeados ou comprometidos para outros indivíduos ou organizações. O uso de IABs tornou-se cada vez mais comum nos últimos anos, pois permite que os cibercriminosos tenham acesso fácil e rápido a uma variedade de alvos sem ter que gastar tempo e recursos para hackeá-los.
No entanto, como as organizações protegem melhor RDP, VPN e outras credenciais de TI, os invasores terão que voltar sua atenção para novos alvos. Os dispositivos IoT são uma escolha lógica devido à sua ampla implantação — mais de um quarto dos dispositivos em todas as organizações são dispositivos IoT, independentemente do setor, e espera-se que esse número continue a aumentar. Infelizmente, muitos desses dispositivos são vulneráveis a ataques, tornando-os um alvo atraente.
Três razões pelas quais os dispositivos IoT são vulneráveis a ataques
Embora existam muitos motivos pelos quais os dispositivos IoT são vulneráveis a ataques, três motivos principais são que eles são frequentemente usados com configurações padrão, o gerenciamento de patches é difícil e eles não foram projetados com a segurança em mente.
Credenciais padrão são alvos fáceis — A pesquisa Access:7 identificou linhas inteiras de produtos de dispositivos IoT que compartilhavam credenciais codificadas para acesso remoto.
Firmware IoT especializado pode permanecer sem correção — O Project Memoriaidentificou mais de 100 vulnerabilidades em pilhas TCP/IP que afetaram vários dispositivos, mas muitas não foram corrigidas pelos fabricantes.
Muitos dispositivos IoT carecem de autenticação e criptografia — a pesquisa OT:ICEFALL demonstrou como os protocolos inseguros na tecnologia operacional são facilmente explorados por invasores.
Claro, as vulnerabilidades contam apenas metade da história. Para que as organizações entendam a natureza da ameaça, elas também precisam entender como os dispositivos IoT estão sob ataque.
IABs para IoT
Existem muitos exemplos de ameaças persistentes avançadas (APTs) que usaram a IoT corporativa para acesso inicial às organizações. Por exemplo, o ator patrocinado pelo estado russo Strontium alavancou telefones VoIP , impressoras de escritório e decodificadores de vídeo, enquanto atores patrocinados pelo estado chinês exploraram vulnerabilidades em câmeras IP para se infiltrar em organizações dos EUA.
As técnicas de ataque tendem a passar de APTs para atores menos sofisticados, e já existem gangues de cibercriminosos, como os grupos de ransomware Conti, Deadbolt e Lorenz, que têm como alvo câmeras IP, dispositivos NAS e VoIP para acesso inicial. Além disso, existem grupos que negociam explorações de IoT nos mercados da Dark Web – o próximo passo lógico é um mercado IAB para IoT.
Um IAB para IoT provavelmente agiria de maneira semelhante aos hacktivistas que têm como alvo IoT/OT . Eles examinariam as organizações-alvo usando ferramentas como Shodan e Kamerka, enumerariam vulnerabilidades ou descobririam credenciais e as usariam para acesso inicial.
Uma das principais diferenças entre IABs que se concentram em RDP/VPN e aqueles que visam dispositivos IoT é que os últimos também podem aproveitar vulnerabilidades em dispositivos IoT, que tendem a permanecer sem correção por muito mais tempo. Isso significa que eles seriam capazes de obter acesso às organizações de maneira mais furtiva e persistente, tornando-os um alvo mais atraente para os cibercriminosos.
Mitigando o risco de IABs para IoT
Embora os IABs para IoT sejam diferentes daqueles direcionados às credenciais RDP/VPN, a boa notícia é que as organizações ainda podem adotar uma abordagem semelhante à segurança cibernética. A descoberta de novos dispositivos na rede, o monitoramento contínuo do tráfego de rede e o uso de segmentação de rede apropriada são práticas recomendadas para mitigar o risco de um ataque, independentemente de usar um dispositivo de TI ou IoT.
Para resolver os problemas exclusivos dos dispositivos IoT, fabricantes e organizações precisam adotar uma abordagem proativa para a segurança da IoT. Isso significa alterar as configurações fracas padrão e aplicar patches regularmente para garantir a segurança dos dispositivos. Além disso, os protocolos usados em dispositivos IoT especializados devem ser projetados com a segurança em mente, incluindo controles básicos de segurança, como autenticação e criptografia. Ao seguir essas etapas, podemos melhorar a segurança dos dispositivos IoT e reduzir o risco de ataques.
FONTE: DARK READING