O incidente cibernético contra a MOVEit é considerado, até o momento, o mais importante ciberataque de 2023, gerando impacto em diversas organizações públicas e particulares em todo o mundo. De acordo com o CISO da Hold Security, Alex Holden, a ocorrência sem precedentes causou impactos permanentes na Cibersegurança global, e agora cabem às corporações absorverem as lições aprendidas com essa crise.
O líder de SI aponta que o incidente transformou a maneira como o setor encara o ransomware, agora com estabilização nas taxas de uso. A sofisticação das soluções de Segurança e a coibição do pagamento de resgate fez os processos de criptografia ficarem menos lucrativos e atraindo o foco dos atacantes para o data leak. A ação do grupo Cl0p no ataque à MOVEit demonstrou isso.
“Em 2022, vimos 60% dos invasores não se incomodando em encriptar dados das companhias, e com 80% focando exclusivamente em exfiltrar dados. Isso evidencia uma transformação no cenário atual, sacramentado por um grupo sofisticado de ransomware apenas coletando informações sensíveis e extorquindo das vítimas”, explicou o executivo, durante um webinar realizado pela RSA Conference sobre o incidente.
Na visão de Holden, as primeiras suspeitas sobre alguma vulnerabilidade Zero Day explorada na solução da Progress Software se iniciaram dois meses antes, em março. Naquele momento, o grupo Cl0p já estava consolidado no mercado, lucrando ao menos US$ 50 milhões em um ataque anterior a uma plataforma similar à MOVEit. A partir dessa expertise, os cibercriminosos foram capazes de agir contra uma plataforma maior e mais reconhecida.
O Cl0p teria gastado cerca de 250 mil dólares nessa exploração de dia zero, e logo após os testes preliminares não terem sido detectados, os criminosos iniciaram uma ação rápida de exploração e vazamento de dados. De acordo com o C-Level, dezenas de gigabytes de informações sensíveis foram retirados dos armazenamentos em tempo relativamente curto e imediatamente eram direcionados à extorsão.
“Esse não é um processo simples, como armazenar um arquivo no Google Cloud. O Cl0p precisava manter cuidado extremo com cada passo dado para não ser notado, exigindo equilíbrio entre agilidade e precaução. Além disso, eles precisavam garantir um repositório próprio ainda mais seguro do que o de seu alvo, de forma a não perder a fonte de seu espólio”, afirmou Holden.
O CISO também ressaltou os problemas graves de Segurança apresentados pela MOVEit. Por ser uma plataforma de manutenção de arquivos em nuvem, a migração rápida e sem controles adequados gerou um grande potencial de vulnerabilidades desconhecidas. A falta de monitoramento de arquivos e de análises quantitativas também prejudicaram a proteção de dados.
“Uma análise adequada dos arquivos criados, deletados ou modificados teria acusado imediatamente a exploração de Zero Day, e o alerta de movimentações repentinas de quantidades volumosas de dados teriam expostos a extração de registros sensíveis. Isso também deve servir de lição tanto para o mercado em geral quanto aos fornecedores de Cibersegurança em específico”, alertou o especialista.
Ataques reputacionais e negociações ruins
Outro ponto realçado por Alex Holden trata da mudança na forma como os cibercriminosos operam as extorsões. De acordo com o CISO, impressiona a forma bastante agressiva com que o grupo Cl0p abordou os processos de negociação com as vítimas. Em diversos momentos, Holden detectou a tentativa de mirar diretamente a reputação das corporações, coagindo-as a pagar pelo não vazamento ou ao menos negociar algum valor.
Isso se mostrou em diversos casos, como no da seguradora AON, acusada pelo grupo de se envolver com manipulação de mercado e cooperar com Estados terroristas, ou com a Ernst Young canadense, cuja lista de clientes foi exposta publicamente. Em ambos os casos, as organizações haviam se recusado a pagar pelo resgate.
Holden também ressalta como negociações mal executadas podem gerar ainda mais problemas às companhias. No caso da TD Ameritrade, os cibercriminosos julgaram que a empresa não tratou o caso com a seriedade adequada, e por isso romperam o diálogo logo nas primeiras semanas.
“Os negociadores do Cl0p demonstram um método bastante emotivo de agir no contato com as vítimas, não aceitando que sejam culpabilizados, subestimados, caluniados ou enganados. Segundo disseram eles próprios, a TD Ameritrade teria agido de todas essas formas. Contudo, é possível constatar que essas estratégias geraram resultado, possivelmente gerando uma nova forma de ação do cibercrime”, encerrou o CISO.
