Escrito por: Rodrigo Fragola
(Data de corte: 14/12/2021, pois o mesmo ainda está sendo investigado)
Nos últimos dias, observamos um ataque ao Ministério da Saúde. Inicialmente, parecia ser um caso padrão de ransomware ou sequestro de dados, mas logo de início alguma coisa estava estranha: o mesmo não seguia os trâmites normais de um ataque ransomware.
Primeiro, o grupo LAPSUS$ se apresentou como responsável, sendo um grupo com baixa atividade hacker. A mensagem apresentava um conteúdo diferente e informava um grande volume de dados roubados, cerca de 50T, o que não é pouco. Só para se ter um parâmetro de comparação, se considerarmos grupos hackers que atuam há meses com vários ataques, a soma dos dados que coletaram não passaria de 20T a 25T.
Essa proeza só seria possível em 3 situações:
a) Não havia monitoramento algum e os dados foram retirados da Nuvem de uma só vez, rapidamente, sem ninguém ver (o que é pouco provável);
b) O ataque durou meses com extrações pequenas e imperceptíveis (o que geralmente acontece, pois os hackers ficam dias e meses na rede coletando informação);
c) Seria uma informação não verídica, usada para confundir o cliente (vale lembrar que isso acontece muito, pois muitas vítimas não têm nem mesmo condições de averiguar estas informações).
Outro ponto que difere dos ataques padrões de ransomware foi o uso de uma credencial válida para alterar a tabela de DNS e redirecionar a mensagem de resgate. Estas alterações impediram outras sites e serviços de funcionar. Neste caso, temos 2 hipóteses plausíveis:
a) Vazaram propositalmente a mesma;
b) Falha de procedimento de manutenção e guarda de senhas;
c) Foram coletadas a partir de um ataque hackers e usadas para danificar o sistema.
O vazamento de credenciais, mesmo não sendo de administradores, é algo que está em voga hoje em dia, já que os ambientes em Home-Office fazem com que muitos usuários comuns e administradores tenham que acessar sistemas utilizando outros ambientes, transferir senhas para seus colegas por e-mail, Whatsapp ou SMS. Assim, as senhas ficam expostas e armazenadas em locais onde um hacker pode consultar posteriormente. Além disso, ao invadir a máquina externa, o atacante passa a ter acesso a rede interna por uma VPN válida.
Estes fatos geraram algumas afirmações que o sistema não foi invadido, já que foram utilizadas credenciais verídicas. Realmente essa é uma discussão muito mais filosófica do que prática, afinal houve uma interrupção no sistema, houve um dano.
Por exemplo, quando foi divulgado o caso do iFood onde uma credencial válida foi utilizada para alterar o nome de várias empresas com frases políticas, o sistema não entendeu que era uma invasão e fez a alteração. Assim, a grande maioria dos sistemas não são projetados para desconfiar dos seus usuários.
Algumas lições que podemos ter até o momento:
a) Estar no Cloud não é sinônimo de segurança;
b) A segurança de sistemas simples como o DNS também é importante, mesmo que ele seja fornecido por terceiros;
c) Credenciais devem ser tratadas com maior cuidado e seu uso deve ser restrito à sua real função, ao período que devem ser usadas e a partir de qual lugar. Segundo fator de autenticação é muito bem-vindo;
d) Segurança não é mais opcional, ela agora é parte estruturante de qualquer operação;
e) O trabalho em casa veio para ficar e temos que considerar este risco para a operação. Uma VPN não protege contra uma série de ataques;
f) Sistemas devem ser pensados e projetados incluindo dispositivos de segurança específicos que nunca serão fornecidos por terceiros (Design for Security).
A segurança está nos detalhes dos procedimentos e das implementações técnicas. Quando vemos grandes corporações e governos, que atuam com grandes fornecedores de serviço, nuvem e tecnologia de ponta serem invadidos, pensamos em como ficaria a minha pequena e média empresa. Mas essa é uma conversa para o próximo artigo! 🙂
Até a última terça feira, dia 14/12, podemos afirmar que:
Os sistemas do Ministério da Economia foram restabelecidos, mas os da Saúde continuam fora do ar;
Os especialistas do GSI e a Polícia Federal estão investigando. Foi aberto inquérito para apurar os ataques hackers;
Uma perícia inicial concluiu que os sistemas não foram “criptografados”, isso significa que os dados estão disponíveis;
Não há confirmação ainda se o grupo realmente teve acesso a dados sigilosos;
· ANPD está monitorando o caso.
Vamos aguardar os resultados finais das investigações e voltarei aqui com mais aprendizados.