Atores da ameaça e a motivação por trás do ataque

00:00:12 Brandon Witte 

Olá a todos e bem-vindos. Aqui é Brandon Witte. Sou o CEO da Sistemas Sightline e eu tenho Brian Dixon, arquiteto de segurança da Unisys Corporation, como coanfitrião desta sessão, vamos falar sobre os agentes de ameaças e a motivação por trás dos ataques cibernéticos, e estamos entusiasmados por tê-los conosco. 

O especialista em segurança cibernética Damien Apone, diretor do programa de segurança global da Genuine Parts Company. 

Então, Damian, nos últimos anos, vimos um aumento impressionante no número de ransomware e ataques cibernéticos. 

00:00:46 Damian Apone 

Sim, de fato, você sabe. Olhando para trás, você sabe que as estatísticas mais recentes mostram que a cada 39 segundos há um novo ataque em algum lugar da Web. A quantidade de danos causados pelos criminosos cibernéticos dobrou de $3 trilhões em 2015. Isso representa mais de $6 trilhões por ano somente em danos causados por ransomware. Os ataques aumentaram mais de 150% desde 2020, portanto, os ataques certamente estão aumentando em todo o mundo. 

00:01:20 Brandon Witte 

E, pessoal, parece que, como você disse, todos os dias ouvimos falar de outra empresa que foi vítima de algum tipo de ataque cibernético. E Brian, parece que esse problema vai continuar a piorar. 

00:01:31 Brian Dixon 

Concordo plenamente, pois estou no campo da segurança cibernética. Nos últimos anos, vimos clientes tentando lidar com alguns dos ataques que enfrentaram nos últimos anos. Mas especialmente com a COVID no ano passado e ainda com as pessoas trabalhando em data centers remotos que não estão mais em um único local. Tudo está fluindo na nuvem e em várias nuvens. 

Estamos vendo muitos ataques de atores de ameaças em estágio avançado, e muitas das ferramentas legadas e das coisas que os clientes têm feito não são mais realmente eficazes. Portanto, estamos vendo isso. 

Obviamente, esse é um grande problema, portanto, pode piorar. 

Como você disse, Damien, na sua opinião, quem está por trás desses ataques e quem realmente são os agentes da ameaça que tentam obter acesso? Sim, acho que você entende de segurança cibernética. 

00:02:11 Damian Apone 

Em geral, isso é confuso para muitas empresas, e ainda há muita negação sobre isso. Eu não sou realmente um alvo. Na verdade, não sou. Não há nenhuma ameaça para mim. Normalmente, quando analisamos o cenário de atores de ameaças, alguns dizem que o dividem em cinco categorias, outros em seis. 

Portanto, o número de categorias que eles dividem parece variar, mas, no final das contas, para mim, são realmente três tipos diferentes de grupos. Um deles são os próprios atores do Estado-nação e, como você sabe, estamos familiarizados com isso. 

Seu objetivo é roubar segredos, certo? E seu principal objetivo é a ameaça de espionagem. 

Pode ser o caos, a destruição econômica. Essas são coisas que são lideradas pela China, pela Rússia e pelo Irã. 

Portanto, eles são patrocinados pelo Estado. O segundo grupo é, na verdade, o hacktivista, se preferir, ou o grupo social, e seu objetivo principal é apenas expor segredos ou interromper serviços que eles consideram malignos. Eles não têm necessariamente como alvo empresas específicas, mas são mais aqueles crentes marginais em que uma empresa como a wiki vaza. 

Por exemplo, certo, eles estão tentando revelar o mal nas empresas. 

A Sony Pictures foi outro caso em que eles estavam tentando fazer isso, os ativistas estavam tentando influenciar. E o terceiro grupo, que é o maior, são os próprios criminosos cibernéticos. 

E, na verdade, esses são os que ouvimos falar repetidamente. São eles que estão liderando os ataques de ransomware. As violações de dados e coisas do gênero, porque, na verdade, para eles, tudo gira em torno de dinheiro e há muitas maneiras diferentes de monetizar um ataque. Mas esses são principalmente os três que vemos no setor atualmente. 

00:04:10 Brian Dixon 

Não, obrigado por isso. Isso é muito interessante e, sabe, gosto de pensar que sou bastante inteligente quando se trata de entender de tecnologia e software e, especialmente, de segurança. Mas ainda fico perplexo com o fato de como essas organizações e esses indivíduos aprendem a fazer e criar essas explorações e, de fato, entram nas empresas, retiram dados e fazem o que fazem? 

00:04:30 Damian Apone 

Bem, é realmente interessante que algumas dessas empresas, algumas delas. Essas pessoas que fazem isso. Eles começam muito jovens e acredito que foi o Twitter. 

Há alguns anos, houve uma invasão do Twitter na Flórida e o responsável tinha 17 anos de idade, certo? Portanto, em alguns casos, os jovens estão se interessando por isso; em alguns casos, os estados-nação têm um programa inteiro dedicado a produzi-los. Até mesmo em alguns dos criminosos cibernéticos. Parte do que eles fazem não é muito sofisticado. 

O golpe do Príncipe Nigeriano, por exemplo. 

Há muitas pessoas que ainda caem no golpe do Príncipe Nigeriano. Até hoje, qualquer pessoa pode escrever um e-mail muito ruim, que são e-mails muito ruins. E você sabe que eles podem injetar o malware. 

O que estamos vendo é um aumento desse ransomware ou do crime cibernético como serviço. Portanto, falar sobre os agentes de ameaças é importante.  

Portanto, se você puder fazer partes de toda a exfiltração, mas talvez não outras partes, também poderá comprar a capacidade de outra pessoa. Se você não souber como aumentar privilégios, por exemplo. Você pode comprar isso como um serviço na dark web. Portanto, a capacidade de criar serviços em torno disso é muito, muito assustadora. Portanto, praticamente qualquer pessoa que realmente queira ser um criminoso cibernético tem essa capacidade hoje, bastando pagar uma parte do que se recebe pelo serviço. 

00:05:56 Brandon Witte 

Isso é realmente interessante, pois se eles conseguem fazer isso e encontrar facilmente esses ataques para implementar, o que isso não torna mais fácil para nós? Ou não deveria ser fácil pegá-los? Ou aqueles que estão disponibilizando essas coisas? 

00:06:15 Damian Apone 

Sim, essa é uma ótima pergunta e um ótimo argumento. 

Portanto, o interessante quando começamos a falar especificamente de ransomware como exemplo, as famílias de ransomware mais ativas que estão por aí, os lados obscuros do mundo e alguns dos outros. Você pode acessar a Internet. Pesquise no Google os principais ataques de ransomware em 2021 e veja quais são suas ferramentas, técnicas e procedimentos. Eles chamam isso de MTTP. Há uma organização chamada Mitre Emitree que basicamente mapeia isso, de modo que temos o manual para os bandidos de como eles executam seus ataques. 

Estamos simplesmente ignorando-o e, portanto, muito do que estamos vendo. 

Esses agentes de ameaças podem ser reduzidos? 

Sem dúvida, pode ser, e a outra boa notícia é que grande parte está disponível publicamente, portanto, sabemos quais são as vulnerabilidades mais exploradas. Sabemos quais são os métodos utilizados para proliferar o ransomware em uma empresa. Acho que as informações estão lá. Só precisamos ouvir e procurar por elas. 

00:07:19 Brian Dixon 

Em sua opinião, o que as empresas podem fazer para se protegerem melhor, não apenas de um ataque, mas de um ataque bem-sucedido? 

00:07:28 Damian Apone 

Sim, acho que, na maioria das vezes, são as coisas básicas, certo? Faça o básico primeiro e, depois, às vezes, você sabe que recebi perguntas sobre todos esses ataques realmente complexos e a verdade é que os ataques não são complexos, não são mesmo. 

E, como eu disse, você pode acessar a Internet e a maioria dos ataques está seguindo as mesmas vulnerabilidades. Eles estão explorando as mesmas vulnerabilidades que eles estão explorando. 

Os mesmos erros de configuração, você sabe, portanto, não é realmente complexo. 

Simplesmente não fazemos o básico excepcionalmente bem, portanto, acho que, se nos alinharmos novamente à estrutura de ataques menores, que está disponível publicamente, esse é o manual dos bandidos. 

Mas certifique-se de que está fazendo o básico. 

Coisas como vulnerabilidade, varredura e aplicação de patches que, hoje em dia, você sabe que o tempo médio de aplicação de patches pode ser de 60 a 150 dias e, você sabe que isso parece bom, mas é apenas a partir do momento em que os patches são disponibilizados. Isso é quase seis meses, portanto, há muitos casos em que hoje você encontrará empresas que ainda não têm o Petya. Você sabe como fazer isso? Higiene básica? Livrar-se do fim de sua vida útil, certificando-se de que você sabe que tem segmentação em vigor. É nesse ponto que estamos usando especificamente a Unisys hoje: quanto mais você dificulta para o bandido conseguir o que quer. Quanto menos eles lidarem com você, mais difícil será. 

Ao garantir que você tenha boas senhas, ao garantir que você possa escalar privilégios, você não tem vulnerabilidades para serem exploradas. 

A outra grande área realmente importante é o e-mail. Não se esqueça disso. O e-mail, da maneira correta, pode causar muitos desses problemas. O e-mail é um grande alvo para os agentes de ameaças.

00:09:16 Brian Dixon 

Como o invasor entra? 

00:09:18 Damian Apone 

Certo, os agentes de ameaças e os atacantes geralmente entram por e-mail, seja um e-mail de phishing ou um e-mail comercial, e o e-mail é responsável por cerca de 94% de todo o malware que está sendo implantado em uma organização. Depois que o malware entra, os bandidos começam a correr e, sinceramente, eles não têm um cronograma. Eles são excepcionalmente pacientes. Eles ficarão lá sentados enquanto não forem detectados, pelo tempo que quiserem. Acredito que o tempo médio de permanência esteja diminuindo, o que é uma ótima notícia. De uma perspectiva média, mas o tempo médio de permanência pode variar de 49 a 150 dias. Então, eu entendo isso. 

Se eu puder viver em seu ambiente por até seis meses, e você não estiver aplicando patches por até seis meses depois. Há muitas coisas ruins que podem ser feitas, portanto, faça o básico, certificando-se de que está alinhado e entendendo como eles vão atacá-lo e, em seguida, preparando suas defesas para saber se esse ataque específico vai aumentar os privilégios. 

O que posso fazer para evitar que isso aconteça e depois faça isso? Esse é o conselho mais prático para evitar alguns desses problemas. Eu diria isso. Definitivamente, a segurança ou a conformidade não são uma solução. Eu sei que há muitas pessoas. Você sabe, coçando a cabeça. Ou se preocupando com o Biden. As normas de segurança cibernética acabaram de ser aprovadas. O que eu diria é que, se você vai fazer conformidade, sabe que conformidade é igual a requisitos mínimos. Muitas vezes, se você fizer as coisas certas do ponto de vista da segurança, você conseguirá a conformidade como resultado final, portanto, eu não me concentraria em como cumprir a regulamentação, mas sim no que você precisa proteger, porque, na verdade, dependendo do invasor e da natureza. 

O que vejo em minha empresa, se é que já vivenciei isso em minha empresa, é que eu não sou uma ameaça. Não há ninguém que seja uma ameaça para nós. Eu não tenho o que eles querem. Isso não é verdade. Ninguém gostaria de me atacar. Isso também não é verdade. 

Portanto, a forma como eles escolhem seus alvos pode ser muito, muito interessante, certo? 

E isso depende do agente da ameaça. 

E, às vezes, não se trata de um ataque direto a você. Certo, às vezes você é a mula para algum outro lugar, a empresa de HVAC que foi alavancada para entrar no alvo, por exemplo. Mas para entender por que eles atacam, você sabe, os estados-nação estão atrás de segredos de governo. 

Eles estão lá para criar o caos novamente. 

Os ativistas têm suas próprias coisas. 

Mas o Estado-nação, você sabe quem são os alvos desses agentes de ameaças? Eles têm como alvo empresas e organizações governamentais. Bem, eu não sou uma organização governamental, não, mas será que fazemos negócios com o governo? 

Estamos assumindo uma postura em relação a algo, e acho que você sabe, vimos isso no último verão, quando, com muitas questões sociais surgindo aqui nos Estados Unidos, certas empresas que podem se posicionar contra essas crenças sociais estão sendo visadas e, então, eu realmente ganho dinheiro? 

Tenho a impressão de ser rico em dinheiro ou em dados? 

No meu caso, trabalho em uma empresa da Fortune 200. Ganhamos muito dinheiro e, por isso, os bandidos nos veem como um alvo e dizem que você tem muito dinheiro. Talvez eu não tenha os dados, mas se eles sentirem que podem tirar o dinheiro de nós de uma forma ou de outra, seja por meio de ransomware ou de uma violação de dados, essa é a motivação para atacar, e você sabe que o interessante é que algumas empresas enfrentam uma ameaça de todas as três categorias. E talvez não. 

O que foi realmente interessante no incidente do oleoduto colonial foi o lado escuro. 

O grupo de ransomware que atacou o Colonial pipeline após o ocorrido. Eles foram muito, muito rápidos em apontar. Ei, isso não tem motivação política. Não se trata de uma declaração política. Tudo o que queremos é o dinheiro, certo? Porque eles são fundamentais. Componente da infraestrutura, você sabe, é a mesma coisa, certo? Eles são um componente essencial da infraestrutura em termos de empacotamento de carne. Nós apenas embalamos carne. Por que alguém iria querer nos atacar? Porque eles eram vistos como tendo bolsos fundos e pagariam o aluguel. 

Infelizmente, também será interessante, pois já vimos outros eventos, especialmente em relação à infraestrutura essencial, que não estavam necessariamente relacionados ao ciberespaço. Mas que devem causar alarme e preocupação, pois as pessoas se lembram do início deste ano no Texas, quando a rede elétrica foi desativada. Certo, isso aconteceu. 

Não necessariamente por causa de um ataque cibernético. Mas isso mostra. Se eles conseguissem fazer isso, o impacto que isso poderia ter sobre o sistema de contabilidade da Colonial Pipeline. 

O que isso faz? Que efeito isso tem? 

Portanto, se você tem dados que podem ser monetizados na dark web, se você tem ou aparenta ter bolsos fundos. Ou se estiver lidando com algumas dessas coisas. Coisas que podem ser uma ameaça em vários níveis, é muito. É uma loucura ver o sucesso que essas pessoas estão tendo contra as organizações e o dinheiro que elas estão realmente negociando para chegar lá. 

00:14:50 Brian Dixon 

Acho que é a última coisa que quero perguntar e depois passo a palavra para o Brandon. 

Qual é a sua opinião sobre as empresas? Algumas das recentes violações de dados e ataques que temos visto. Eles pagaram resgate, certo? Então, elas fizeram isso em um esforço para pensar que receberiam seus dados de volta. Você já viu alguma situação em que elas tenham sido atacadas novamente por meio dessa troca de pagamento de resgate? 

00:15:10 Damian Apone 

Sim, há algumas tendências em andamento. A primeira, como você mencionou, foi a de seguir os ataques e, portanto, certamente estamos vendo isso. Provavelmente não tão desenfreados, porque acho que as pessoas estão aprendendo pela primeira vez: se você pagar o resgate. Alguns dos ransomwares, como eu disse, o Dark Side, é o grupo de ransomware com coração. Eles dizem que não atacarão hospitais. Não atacarão grupos educacionais, mas nem todos são assim. Nem todos têm essa moralidade. Alguns dirão: ei, se você pagar o resgate na primeira vez, vou atacá-lo novamente, porque você provavelmente não corrigiu os problemas, então vou cobrar o dobro do resgate. 

A outra tendência que estamos começando a ver em ascensão agora é uma espécie de resgate duplo, como eles estão chamando. Onde eu vou reter seus arquivos e ajudá-lo a pagar o resgate e, às vezes, você pode ter seus arquivos descriptografados. 

Você pode não pagar, mas eles lhe darão a chave. Se você pagar, eles lhe darão a chave para desbloquear. Agora, se isso realmente funciona ou não. Isso pode ser algo totalmente diferente com esses agentes de ameaças. Mas o que eles também estão fazendo é dizer: "Ei, eu vou. Tenho um ransomware em suas coisas. Roubamos seus dados e, se você não me pagar esse outro resgate, também vou expô-lo. Assim, eles estão fazendo uma espécie de 2 por 1, bloqueando você, pegando seus dados e, basicamente, extorquindo você. Para não vazar o fato de que eles fizeram isso. E muito disso se deve a esses tempos de espera, porque se eles, se eu puder viver nesse ambiente, eles são excepcionalmente pacientes. 

Eles ficarão sentados lá por meses a fio e simplesmente aprenderão seu negócio e imitarão as pessoas que precisam imitar. Ou proliferarão o que quiserem fazer. Uhm, há algum debate sobre o tempo de permanência e por que ele diminuiu, e acho que há um campo. Que dirá. Ele está diminuindo porque os agentes estão agindo mais rapidamente, especialmente em função do ransomware, certo? Assim, o agente da ameaça entra. Eles não precisam de tanto tempo para descobrir como bloquear tudo. 

Portanto, esse tempo de permanência, quanto tempo eles estão em meu ambiente, está diminuindo artificialmente porque eles estão agindo mais cedo do que no passado. Mas, sim, só porque você paga um resgate e outra coisa importante em relação ao ransomware. Muitas empresas estão adquirindo seguro de segurança cibernética no momento. 

Os prêmios estão aumentando drasticamente em 100 e 5200%. Se você puder obter a cobertura de seguro cibernético, há muito foco agora em torno do ransomware também, porque as seguradoras estão realmente. Estamos recebendo muitos pedidos de indenização nessa área específica, e o que eu aconselho às pessoas é que verifiquem sua apólice, verifiquem as condições de sua apólice porque, em alguns casos, se você realmente pagar o resgate, isso poderá anular sua cobertura de seguro. 

Portanto, há uma série de coisas que as empresas podem ou não fazer. Ei, basta pagar o resgate e eles vão embora. Você está preparado. Se você vai fazer isso, ótimo. Conserte-se para que isso não aconteça novamente. 

Mas certifique-se também de que, se tiver um seguro contra ransomware ou seguro cibernético, você leia a apólice e saiba quais são as cláusulas relacionadas a ransomware. 

00:18:29 Brian Dixon 

Uau, sim, obrigado por essas informações. É muito útil saber disso. 

De volta a você, Brandon. 

00:18:34 Brandon Witte 

Sim, e uma última pergunta sobre isso é que alguém que tenha sido comprometido e os dados tenham sido roubados e eu pague o resgate, eles me entregam a chave. 

É justo dizer que eles também abriram um conjunto totalmente diferente de vulnerabilidades potenciais para que, como você disse, eles possam voltar na segunda ou terceira vez, ainda mais facilmente do que na primeira. 

00:18:59 Damian Apone 

Sim, acho que assim que a empresa sofre uma violação, muitas vezes, as outras têm seus relatórios de violação de dados. 

Acho que o que acontece é que, após a contenção, o que aconteceu? É nesse momento que a reclamação vem e os dentes, rangendo, entram em ação. 

Como eles conseguiram isso? 

É importante analisar esse pagamento para ser honesto e dizer: "Como eles conseguiram entrar? Como isso poderia ter sido comprovado? Novamente, como podemos evitar que isso aconteça, certo? 

Vamos fazer o básico. 

Vamos cumprir essas responsabilidades essenciais de aplicação de patches, varredura e correção. Quanto mais você fizer isso, mais você elimina o 80%. Na verdade, se você apenas corrigir as vulnerabilidades, se tiver bons controles de e-mail em termos de bloqueio de phishing, quanto mais oportunidades puder tirar do bandido, melhor será para você. Sabe, é quase melhor fazer isso agora e simular isso em uma mesa. E, ei, falhamos com o tampo da mesa, mas tudo bem. O que podemos fazer para protegê-lo melhor? Isso destacará coisas. Isso destacará muitas coisas. Que talvez você tenha muito débito técnico, muitas empresas têm débito técnico. Mas a outra coisa que quero destacar é que nem tudo se resume à tecnologia. E, para ser realmente protetor do ponto de vista da segurança, não olhe apenas para o fato de que eu consertei uma vulnerabilidade ou por que temos um sistema antigo lá fora? Tudo se resume a pessoas, processos e tecnologia. 

Tenho as pessoas certas? Elas estão observando as coisas certas, porque o ser humano configura a tecnologia, então talvez não tenhamos configurado algo corretamente. Será que tenho os processos corretos para que, se algo for encontrado, sejamos notificados, de modo que muitas vezes há muito dinheiro, provavelmente um setor de $300 bilhões em termos de software de segurança cibernética, não necessariamente falhas tecnológicas. Temos pessoas. Temos falhas de processo que se manifestam no lado da tecnologia. Então, você sabe, estamos verificando as regras do firewall? Estamos verificando quem tem acesso ao sistema? 

Essas não são coisas tecnológicas, são sim. São pessoas no processo. Portanto, acho que é importante fazer isso, porque isso dará destaque e você foi atingido uma vez. Cada ator faz algo diferente, e é por isso que, se você sair e olhar e disser. Ah, como acontecem as coisas mais comuns? Há 567 caminhos diferentes que eles podem seguir. Portanto, não verifique apenas o único caminho que você encontrou. Verifique também os outros seis, certo? Quanto mais você puder se preparar e conhecer, e se encontrar coisas, tudo bem. Tudo bem, você quer encontrar. Encontre-as antes que os vilões as encontrem e conserte-as. Porque se você consertar essas coisas, eles simplesmente dirão: "Quer saber? Isso não vale meu tempo. Vou simplesmente seguir em frente e encontrar outra pessoa que não esteja tão bem protegida. 

00:21:51 Brandon Witte 

Então, muito obrigado, pessoal. Estamos sem tempo hoje, mas gostaria de agradecer ao Damian pelo excelente material sobre sua visão e histórico do espaço. Gostei muito de nossa conversa sobre agentes de ameaças. Muito obrigado. 

E Brian, muito obrigado e junte-se a nós na próxima vez que nos aprofundarmos um pouco mais no que podemos fazer e nas principais coisas que podem ser feitas para ajudar a proteger melhor as empresas contra o aumento dos ataques que estamos vendo. 

Muito obrigado.