Elevando o nível dos atacantes: como a microssegmentação pode proteger as organizações contra ataques semelhantes aos do Kaseya

Uma razão pela qual os fornecedores de segurança de TI nunca podem baixar a guarda é a inovação constante proveniente da comunidade de crimes cibernéticos. O conhecimento se espalha por toda parte em fóruns clandestinos com uma velocidade que pode surpreender muitas organizações. Então, quando vimos algumas das técnicas usadas na infame campanha da SolarWinds aplicadas nos recentes ataques de ransomware da Kaseya, não deveríamos ter ficado surpresos.

No entanto, ao implantar a microssegmentação nos lugares certos, as organizações poderiam ter tornado a vida muito mais difícil para os bandidos, tanto minimizando o risco de exploração inicial de dia zero quanto bloqueando as comunicações subsequentes de comando e controle.

O que aconteceu no ataque de Kaseya?

A Kaseya fornece software principalmente para provedores de serviços gerenciados (MSPs) para agilizar tarefas essenciais de TI, como patches e monitoramento remoto, para empresas de pequeno e médio porte. Como foi o caso do software SolarWinds, o produto Kaseya VSA que foi alvo desse ataque recebe acesso altamente privilegiado para realizar suas principais tarefas de monitoramento e gerenciamento remoto de redes e dispositivos de computação, tornando-o a escolha ideal para espalhar malware por toda parte.

Um benefício adicional para os afiliados do ransomware REvil por trás do ataque é a natureza dos clientes da Kaseya. Como MSPs, cada um deles tem vários clientes próprios que os atacantes podem infectar e extorquir. Esse é um ROI muito bom para cibercriminosos que buscam ganhar dinheiro com facilidade.

Kaseya detalhou sua resposta ao ataque. O fornecedor foi notificado pela primeira vez sobre uma violação em 2 de julho, pouco antes do fim de semana do feriado nos EUA. Parece que os agentes da ameaça usaram uma exploração de desvio de autenticação de dia zero na interface web do Kaseya VSA local. Isso os ajudou a obter uma sessão autenticada, carregar sua carga útil e, em seguida, executar comandos por meio de injeção de SQL.

Com acesso aos servidores Kaseya VSA dos MSPs, eles conseguiram enviar uma atualização falsa para os clientes dessas organizações, apelidada de “Kaseya VSA Agent Hot-fix”, que na verdade era o ransomware Revil/Sodinokibi.

Acredita-se que menos de 60 MSPs de um potencial de 40.000 clientes tenham sido afetados. Mas o impacto indireto significou que os clientes posteriores dos MSPs foram infectados com ransomware, totalizando cerca de 1.500 organizações em todo o mundo, de escolas a supermercados.

Um patch para a vulnerabilidade de dia zero explorada foi lançado, mas para essas empresas comprometidas, é tarde demais.

Como a microssegmentação pode ajudar: tráfego de entrada

Os MSPs poderiam ter mitigado a violação inicial restringindo o acesso administrativo à interface web do Kaseya VSA. Dessa forma, somente usuários autorizados específicos de um pequeno conjunto de bastion hosts poderiam acessar o software Kaseya nas portas de gerenciamento.

Na verdade, eles estariam usando a microssegmentação para reduzir a superfície de ataque, colocando barreiras extras no caminho dos cibercriminosos para que eles tivessem que trabalhar muito mais para implantar uma exploração de dia zero. Combine isso com a autenticação multifatorial para esses usuários autorizados limitados e você tornará exponencialmente mais difícil para os cibercriminosos invadirem sua rede.

Ao forçá-los a passar mais tempo e fazer mais “barulho” enquanto pesquisam na rede em busca de uma porta destrancada, você também ajuda suas ferramentas de detecção e resposta a ameaças a “ouvi-los” enquanto eles se escondem no escuro.

Como a microssegmentação pode ajudar: tráfego de saída

A segunda maneira pela qual a microssegmentação ajuda é com a comunicação de saída de terminais infectados para a Internet.

Em algum momento, os cibercriminosos geralmente precisam se comunicar com seu servidor de comando e controle (C & C) para fornecer instruções e baixar cargas maliciosas. Ao garantir que as políticas limitem a conectividade de saída da infraestrutura da Kaseya apenas a endereços IP conhecidos e pré-aprovados, você pode impedir que os invasores continuem. Se os criminosos não conseguirem se comunicar com seus próprios servidores, não poderão prosseguir para a próxima fase do ataque.

Zero Trust começa com a segmentação

Para proteger sua organização contra ataques de ransomware como o Kaseya e o SolarWinds, as organizações precisam desenvolver políticas e práticas de Zero Trust robustas e abrangentes em toda a infraestrutura de TI. E o Zero Trust começa com a segmentação, pois as violações acontecerão e os criminosos encontrarão uma porta destrancada em algum lugar da sua rede. A chave é garantir que eles não possam ir mais longe.

Não há solução mágica na segurança. Mas, ao aplicar uma microssegmentação como essa, você tem uma grande chance de tornar a vida significativamente mais difícil para seus atacantes, pelo menos aumentando as chances de detecção e, idealmente, forçando-os a desistir e seguir em frente.