E se o ransomware evoluísse para atingir a IoT na empresa?

E se o ransomware evoluísse para atingir a IoT na empresa? Pesquisadores da Forescout demonstraram como o ransomware pode se espalhar por uma empresa a partir de equipamentos vulneráveis ​​da Internet das Coisas.

A equipe do Vedere Labs da empresa de segurança disse que desenvolveu uma cepa de prova de conceito desse tipo de malware de próxima geração, que eles chamaram de R4IoT. Depois de obter acesso inicial por meio de dispositivos IoT, o malware se move lateralmente pela rede de TI, implantando mineradores de ransomware e criptomoeda enquanto também exfiltra dados, antes de aproveitar os sistemas de tecnologia operacional (OT) para potencialmente interromper fisicamente operações críticas de negócios, como pipelines ou manufatura equipamento.

Em outras palavras: um pesadelo corporativo completo, embora teórico.

Basicamente, resulta de nossa observação da natureza evolutiva dos atores de ameaças que estão envolvidos no ransomware – eles mudaram de tática nos últimos dois anos”, disse Daniel dos Santos, chefe de pesquisa de segurança do Vedere Labs da Forescout.

Os invasores não estão apenas criptografando dados e exigindo um pagamento de resgate para descriptografar sistemas corporativos, disse ele ao The Register . Em vez disso, os criminosos também estão roubando informações confidenciais, vazando publicamente algumas ou todas elas e, em seguida, lançando ataques DDoS a empresas se não pagarem.

Esses tipos de ataques cada vez mais destrutivos, combinados com o crescente número de dispositivos conectados à Internet, levaram os pesquisadores a considerar: e se o ransomware explorasse o equipamento da IoT para entrar em uma rede corporativa. Normalmente, as organizações são infectadas por alguém abrindo um e-mail armadilhado, invasores usando credenciais de login roubadas ou com phishing ou um servidor público é explorado. O R4IoT visa especificamente equipamentos de IoT.

A boa notícia é que este é apenas um malware conceitual, desenvolvido em um laboratório para mostrar como os criminosos podem combinar os mundos de TI, OT e IoT para espalhar ransomware. Dizem-nos que isso não seria muito difícil de fazer no mundo real, desde que alguém seja capaz de identificar e explorar as vulnerabilidades da IoT no ambiente da vítima.

Nenhuma das façanhas é difícil, por si só“, disse Santos. “Nós, é claro, fizemos isso em um laboratório onde controlamos todas as variáveis. Se você está fazendo isso de verdade… [é] definitivamente factível e não requer um alto nível de sofisticação.

Encontrar o ponto de conexão entre a rede de TI e OT pode exigir alguma persistência, acrescentou. Mas isso também fala da natureza evolutiva do ransomware e da comoditização de explorações, de acordo com dos Santos.

Você tem essas gangues de ransomware como serviço, por exemplo, que desenvolvem softwares muito complexos, malwares muito complexos, e os distribuem para afiliados que simplesmente os implantam em alvos específicos”, disse ele. “A ideia aqui pode ser a mesma: alguém desenvolve um malware complexo e, em seguida, outra pessoa com habilidades mais baixas é responsável por implantá-lo.

Na verdade, o Vedere Labs viu “pedaços e pedaços” de código como sua prova de conceito explorados na natureza, acrescentou.

Quão longe no futuro é isso?

Um dos exemplos de exploração no PoC tem como alvo um dispositivo de armazenamento conectado à rede como um ponto de entrada inicial. Isso veio de uma botnet do mundo real chamada BotenaGo , que possui mais de 30 explorações para vários tipos de dispositivos IoT que estavam ativos no final do ano passado. Além disso, o ransomware Snake começou a levantar preocupações para os operadores de sistemas de controle industrial no início de 2020.

Mas juntando tudo – não acho que isso levará muito tempo“, disse Santos. “Uma das principais variáveis ​​também é que os invasores buscam o fruto mais baixo. E até agora, ainda é mais fácil realizar ataques com phishing ou credenciais válidas.

À medida que o número de dispositivos IoT aumenta, a superfície de ataque das empresas cresce e as gangues de ransomware que se concentram apenas em equipamentos de TI estão perdendo um grande número de pontos de entrada em potencial. No momento, IoT e OT representam 44% do total de dispositivos em redes corporativas, de acordo com a Forescout. 

O ponto de inflexão para os criminosos começarem a direcionar esses dispositivos para ataques de ransomware “provavelmente será quando os dispositivos de TI e OT ultrapassarem 50%“, disse Santos. “E isso é muito em breve. Isso é uma questão de um ou dois anos.”

O caminho do R4IoT de IoT para TI e OT

Veja como funciona o ataque. Primeiro, um criminoso usa uma câmera vulnerável conectada à rede da Axis como ponto de entrada. Os pesquisadores escolheram a Axis porque ela e a Hikvision respondem por 77% das câmeras IP usadas nos 1.400 clientes globais da Forescout. As câmeras Axis sozinhas representaram 39% dos observados.

Isso significa que o uso de câmeras IP como um ponto de entrada reutilizável para muitas organizações (exatamente o que os corretores de acesso inicial fazem) é viável”, escreveu Santos em um relatório que deve ser lançado hoje.

A câmera Axis no laboratório tem três vulnerabilidades críticas, e o invasor as explora para obter a execução remota de comandos e assumir o controle do dispositivo. 

O criminoso então executa uma série de ações para alterar o diretório raiz do modo somente leitura para o modo de leitura e gravação, o que permite que arquivos maiores sejam carregados e armazenados, cria um novo usuário com privilégios de root para manter o controle sobre a câmera e verifica a rede em busca de uma máquina Windows conectada com serviços de área de trabalho remota (RDP). 

Depois de encontrar a máquina Windows, o criminoso obtém credenciais RDP usando um ataque de dicionário contra contas com altos privilégios e cria um túnel SSH entre o computador do invasor e a caixa RDP. Isso fornece o canal de comunicação para enviar os executáveis ​​e arquivos do R4IoT. 

Os programas permitem movimento lateral na rede atacando controladores de domínio e também incluem um agente de comando e controle para malware futuro e exfiltração de dados, um minerador de criptografia e um executável que lança ataques DDoS contra ativos críticos de IoT e OT. 

Hora do ‘Reality check’

Esta pesquisa deve fornecer um “Reality check” para as empresas sobre a interconexão entre suas redes de TI, OT e IoT e como o malware pode se mover entre esses três ambientes, de acordo com Santos. 

As conclusões são relativas à mitigação“, disse ele. “Não é apenas o ataque que está lá, todo mundo corre para as colinas porque é terrível. Não queremos apenas assustar as pessoas. É realmente sobre o que você pode fazer a respeito.

Isso se resume às coisas que as organizações podem fazer para mitigar os riscos. Primeiro, identifique todos os dispositivos na rede e priorize as vulnerabilidades sob exploração ativa. 

Não apenas o material de TI em sua rede corporativa, mas tudo o que o cerca, seja IoT, OT, dispositivos médicos para hospitais ou qualquer outra coisa que você tenha conectado à rede”, disse Santos. 

E identificar significa não apenas saber que eles estão conectados, mas também qual software eles estão executando, quais políticas de segurança estão anexadas a eles, e então você pode criar um perfil de risco para esses dispositivos“, acrescentou.

Depois de identificar todos os dispositivos conectados, implemente controles de segurança, como segmentação de rede e autenticação multifator. Também corrija as vulnerabilidades do dispositivo sempre que possível e não use senhas padrão ou óbvias, disse Santos. 

Preste atenção a todo o ecossistema“, disse ele. E então, por tipo de dispositivo, você pode definir o que realmente precisa fazer como organização.

Fonte:  The Register

Veja também:

 

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!