Segundo o “Relatório de Cibersegurança”,publicado em 2022 pela Check Point Research (CPR), aquantidade de ataques cibernéticos cresceu de forma exponencial de 2020 para2021, e um dos principais motivos foi a pandemia causada pelo novo coronavírus.
Empresasforam obrigadas a fechar seus escritórios e estabelecer o regime de trabalhohome office. Entretanto, não houve um planejamento prévio de como isso seriafeito, como continuariam atendendo os clientes e nem dando continuidade a seusserviços.
Muitasempresas sofrem com o reflexo dessas atitudes até os dias atuais, pois nãopuderam se organizar para que os profissionais conseguissem trabalhar de casa.Como a necessidade era continuar trabalhando, muitas empresas se preocuparam emconfigurar soluções de acesso remoto, mas esqueceram de reforçar a segurança deseus sistemas.
Nogeral, em 2021, as organizações sofreram 50% mais ataques cibernéticos semanaisque em 2020. As instituições do setor Educação/Pesquisa somaram 1.605 ataques globaisem 2021, assumindo o 1º lugar e registrando um aumento de 75%. O 2º lugar foiocupado pelo setor Governo/Militar, com 1.136 ataques (aumento de 47%) seguidodo setor de Comunicações, que ocupou o 3º lugar, com 1.079 ataques semanais(aumento de 51%).
Fonte: Relatório de Cibersegurança 2022 – CheckPoint Research (CPR)
Oaumento de ataques cibernéticos impulsionou o mercado de cibercrime a ser umdos mais lucrativos da atualidade, com um dos principais serviços sendo o RaaS(Ransomware as a Service), que é uma modalidade de comercialização do jáconhecido ransomware. Atualmente, não é necessário ser um hacker ou ter grandesinformações sobre a criação e configuração desse tipo de malware. O ransomwarese tornou um produto e é comercializado no mercado clandestino em formato de“aluguel”.
Na dark web, é possível contratar o serviço de profissionaisque criam esse tipo de mecanismo e outras pessoas o utilizam para aplicargolpes. O sistema de RaaS é vendido como um serviço e disponibilizado na nuvempara que o comprador possa usar onde, como e quando quiser.
Isto, aliado a diversas brechas causadas pelo trabalhoremoto e políticas mal estabelecidas de BYOD (Bring your own device), permitemo aumento exponencial dos ataques por ransomware.
Pensandonesse cenário, foi desenvolvido o rThreat, que é uma ferramenta para emulaçãode ameaças cibernéticas. Esta tecnologia disruptiva viabiliza testar aefetividade, assertividade e velocidade que as soluções de segurança presentesno seu ambiente possuem, emulando um ambiente real totalmente controlado. Dessaforma, é possível obter a visão de como está a maturidade de segurança do seu ambienteempresarial, caso um artefato malicioso conseguisse penetrar e infectar algumamáquina ou servidor de sua rede.
Para assegurar total segurança e sucesso nos testes, são utilizados clones demáquinas no processo de emulação. Além da ferramenta possuir a funcionalidadede isolamento, é possível garantir que, caso um artefato consiga comprometerpor completo o host testado, não seja possível realizar o movimento lateralpara outras máquinas do ambiente.
Alémdisso, a ferramenta contém uma biblioteca vasta de artefatos que são atualizadosdiariamente, permitindo utilizar diversos tipos de malwares para a emulação. Épossível testar desde ransomwares utilizados por grupos APTs conhecidos (como éo caso do Lockbit, RansomEXX, Revil, entre outros), até trojans e malwares queexploram vulnerabilidades de ambiente 0day.
OrThreat também disponibiliza artefatos modificados, ou seja, artefatosque tiveram sua construção modificada para que não sejam mais detectados porsoluções de segurança diretamente por seu Hash, IOC ou outro indicadorconhecido.
A emulação tem 3 modalidades:
Network Security – Esta modalidade visa validar apenasse alguma ferramenta de IPS ou IDS identificaria o artefato dentro da rede equal seria a reação a este artefato por parte das soluções de segurança.
EPP – Já no caso do EPP, o objetivo é validar ocenário caso um artefato conseguisse chegar em alguma máquina do ambiente, e entenderqual seria a reação por parte do Antivírus e EDR a este item malicioso.
Real Execution – Aqui é onde a mágica acontece! Com a emulação real doartefato, neste modelo todas as soluções de segurança serão testadas evalidadas, pois o artefato será executado por completo caso as soluções desegurança não impeçam os processos maliciosos utilizados pelo malware.
Por fim, ao final de toda emulação, serão restaurados ossnapshots da máquina a fim de deletar quaisquer resíduos deixados peloartefato, certificando que a máquina está totalmente limpa e segura novamente.
Também é gerado um relatório totalmente personalizado pelaequipe da Redbelt Security, ao final de cada emulação, contendo informaçõesreferentes ao resultado do teste e sobre o artefato utilizado na emulação.
Algumas das informações obtidas são:
Os TTP´s (Táticas, Técnicas e Procedimentos) que omalware utilizou ou tentou utilizar para o comprometimento do ambiente.
Os IOC´s (Indicadores de Comprometimento) do malwareutilizado.
A matriz de execução do malware dentro das layers doMITTRE&ATT&CK.
Outro ponto importante que podemos observar é até que pontoo malware conseguiu comprometer a máquina. Ou seja, se ele conseguiu serexecutado por completo, se foi possível realizar a evasão das soluções desegurança, se foi possível realizar o escalonamento de privilégio e por fim ouse foi possível realizar a criptografia de disco da máquina (no caso de umransomware).
E com todos esses dados em mãos, conseguimos obter uma visãode quais serão os próximos passos para elevação da maturidade de segurança doambiente, incluindo alguns itens como:
Hashs para adição nas soluções de segurança de rede e deendpoint;
Regras YARA;
Mitigação das layers do MITTRE&ATT&CK.
Em suma, o rThreat viabiliza obter a visão de um ataque realde uma ameaça ou grupo APT em um ambiente totalmente seguro e controlado, ajudandoas empresas a se prevenirem contra-ataques cibernéticos reais. Além deidentificarem seus gaps, possíveis melhorias de processos de detecção eresposta a incidentes, e implementação de políticas de segurança mais efetivaspara o ambiente.
Ariel Tarabori, analista Threat Intelligence na Redbelt Security
