A vulnerabilidade de dia zero de transferência de arquivos do MOVEit, descoberta pela primeira vez em 1º de junho, foi usada para violar pelo menos 160 vítimas confirmadas até 30 de junho. A bem-sucedida campanha de extorsão em massa representa uma evolução das táticas do grupo de ransomware Cl0p, apoiado pela Rússia, que especialistas dizem que provavelmente chamará a atenção de atores de ameaças rivais.
Os pesquisadores de ameaças observam que a campanha MOVEit também tem algumas pistas sobre como responder ao futuro dos ataques cibernéticos da cadeia de suprimentos para os defensores.
Até agora, as organizações violadas incluem um “quem é quem” de marcas internacionais, como a empresa-mãe da Avast, British Airways, Siemens,
UCLA e muito mais. Relatórios dizem que o grupo de ransomware conseguiu a exploração em massa tecnicamente detalhada após pelo menos dois anos de desenvolvimento cuidadoso, pacientemente planejando e planejando quando e onde atacar, armado com a falha secreta no software de transferência de arquivos MOVEit.
Ataques de ransomware sem ransomware
Os pesquisadores observam algumas inovações que o Cl0p fez entre explorações anteriores e a campanha MOVEit, que provavelmente influenciarão outros grupos de ameaças. Por exemplo, o Cl0p simplificou o modelo de negócios de extorsão, acabando com o ransomware todos juntos, explicou John Hammond, pesquisador de ameaças de segurança da Huntress ao Dark Reading.
“Pelo que a indústria viu em violações [recentes] de Cl0p (ou seja, GoAnywhere MFT e MOVEit Transfer), eles não executaram ransomware nos ambientes alvo”, diz Hammond. “As operações têm sido estritamente exfiltrando dados e usando essas informações roubadas para posterior chantagem e extorsão. Não está claro por que eles optaram por não criptografar arquivos.”
Embora não esteja claro por que o Cl0p virou, o resultado final é um modelo de negócios de ransomware sem a sobrecarga de tentar construir um ransomware melhor, acrescenta.
“Talvez outras gangues de crimes cibernéticos sigam o exemplo, e o desenvolvimento de ferramentas de ransomware e a criação de malware mais rápido podem cair no esquecimento quando os adversários podem apenas se concentrar em seu objetivo real de ganhar dinheiro”, diz Hammond.
Provedores de exploração de dia zero de terceiros
Dito tudo isso, se ganhar dinheiro fosse a principal motivação para os ataques cibernéticos do MOVEit, o grupo teria escolhido uma abordagem muito mais simples do que investir tempo e recursos para descobrir e desenvolver um exploit como o do MOVEit.
John Fokker, chefe de inteligência de ameaças do Trellix Advanced Research Center, explicou ao Dark Reading que acha que tem a resposta: o grupo adquiriu o dia zero de um terceiro.
“Há vários aspectos e fatores desse ataque cibernético e vulnerabilidade em particular que são realmente interessantes”, explicou John Fokker, chefe de inteligência de ameaças do Trellix Advanced Research Center, ao Dark Reading. “A vulnerabilidade do MOVEit não é fácil ou direta – exigiu uma extensa pesquisa na plataforma MOVEit para descobrir, entender e explorar essa vulnerabilidade. O conjunto de habilidades necessárias para descobrir e explorar essa vulnerabilidade não é facilmente treinado e é difícil de encontrar na indústria.”
Ele acrescenta, dedicar esse nível de detalhe a uma operação não é algo que o grupo de ransomware Cl0p geralmente faz, o que é outra pista que leva Fokker e sua equipe a suspeitar que o Cl0p adquiriu a vulnerabilidade de dia zero do MOVEit em vez de desenvolvê-la do zero.
“É definitivamente uma possibilidade de que o Cl0p não tenha realmente descoberto essa vulnerabilidade e exploração de dia zero, mas sim adquirido de terceiros”, acrescenta Fokker. “Acreditamos com confiança moderada que esse foi o caso, com base no que foi mencionado acima, além de certos outros elementos do ataque e postagens de vazamento.”
Fortalecendo a cadeia de suprimentos de software contra futuras explorações de dia zero
Impedir ataques mais sofisticados à cadeia de suprimentos de dia zero requer investimento em esforços proativos, incluindo programas robustos e responsivos de recompensa por bugs financiados por fornecedores de software, observa Randy Pargman, diretor de detecção de ameaças da Proofpoint.
“Há uma enorme discrepância entre a quantidade de dinheiro que os fornecedores de software estão dispostos a pagar por recompensas por bugs versus a quantidade que os pesquisadores de dia zero podem obter de governos e mercados subterrâneos para suas pesquisas, então os fornecedores poderiam fazer melhor investindo mais”, diz Pargman. “Onde as empresas de software ainda podem melhorar mais é em tornar mais fácil para os caçadores de bugs relatarem problemas e tratar os pesquisadores com respeito.”
Mas, como diz Omkhar Arasaratnam, gerente geral da Open Source Security Foundation, o que mais o preocupa são relatos de respostas em pânico à exploração do MOVEit entre profissionais de segurança cibernética.
“A comunidade de segurança cibernética deve se concentrar em tornar os incidentes entediantes”, diz Arasaratnam. “Quando os paramédicos chegam ao local do acidente, eles não correm freneticamente ou em pânico. Os paramédicos executam deliberadamente e estoicamente os procedimentos que aprenderam para obter acesso, avaliar a cena, triar e ajudar de forma eficaz. A segurança cibernética pode tirar uma lição dos paramédicos.”
FONTE: DARK READING