O ciclo de vida de um servidor comprometido em nuvem e como ficar atento na sua empresa
Recentemente, a equipe de pesquisa da Trend Micro desenvolveu um estudo que relaciona a hospedagem e a infraestrutura clandestina de criminosos cibernéticos. Entender o ciclo de vida comum de um servidor que foi comprometido, desde o seu comprometimento inicial até os diferentes estágios de monetização buscados pelos criminosos, é importante para observar que, independentemente de o servidor de uma empresa ser local ou baseado em nuvem, os criminosos cibernéticos não se importam com o tipo de servidor que comprometem. Para eles, qualquer servidor exposto ou vulnerável é válido para suas jogadas.
Ao passo que a transformação digital segue evoluindo e potencialmente cresce, especialmente em momentos de grande adoção do trabalho remoto, os servidores em nuvem são mais propensos a serem expostos. Muitas equipes de TI das empresas, infelizmente, não estão dispostas a fornecer a mesma proteção para a nuvem que os servidores locais.
Uma observação importante. Queremos enfatizar que este cenário se aplica apenas a instâncias de nuvem que replicam o armazenamento ou capacidade de processamento de um servidor local. Recipientes ou funções sem servidor não serão vítimas desse mesmo tipo de comprometimento. Além disso, se o invasor comprometer a conta em nuvem, ao contrário de uma única instância em execução, haverá um ciclo de vida de ataque totalmente diferente, pois eles podem ativar os recursos de computação à vontade. Embora isso seja possível, no entanto, não é nosso foco aqui.
Muitas equipes de tecnologia e segurança da informação podem não procurar os estágios iniciais do ataque. Antes de ser atingido pelo ransomware, no entanto, existem outros alertas vermelhos que podem sinalizar as equipes sobre essa violação. Se um servidor for comprometido e usado para mineração de criptomoeda, por exemplo, isso pode ser um dos maiores sinais de alerta para uma equipe de segurança. A descoberta de malware de criptomineração em execução em qualquer servidor deve resultar na ação imediata da empresa e no início de uma resposta a incidentes para bloquear esse servidor.
Este indicador de comprometimento (IoC, na sigla em inglês) é significativo porque, embora o malware de criptomineração seja frequentemente visto como menos sério em comparação com outros tipos de malware, ele também é usado como uma tática de monetização que pode ser executada em segundo plano enquanto o acesso ao servidor é vendido para outras atividades maliciosas. Por exemplo, o acesso pode ser vendido para uso como servidor de hospedagem clandestina. Enquanto isso, os dados podem ser exfiltrados e vendidos como informações de identificação pessoal (PII) ou para espionagem industrial, ou podem ser vendidos para um ataque de ransomware direcionado. É possível pensar na presença de malware de criptomineração como o proverbial canário em uma mina de carvão: Este é o caso, pelo menos, de vários criminosos de acesso como serviço (AaaS) que usam isso como parte de seu modelo de negócios.
De modo a exemplificar como funciona o ciclo de vida de um ataque a servidor, elaborei o seguinte caminho:
Comprometimento inicial – Neste estágio, seja uma instância baseada na nuvem ou um servidor local, está claro que um criminoso assumiu o controle.
Categorização de ativos – Esta é a fase de inventário. Aqui, um criminoso faz sua avaliação com base em perguntas como: quais dados estão naquele servidor? Existe uma oportunidade de movimento lateral para algo mais lucrativo? Quem é a Vítima?
Exfiltração de dados confidenciais – Nesta fase, o criminoso rouba e-mails corporativos, bancos de dados de clientes e documentos confidenciais, entre outros. Esse estágio pode acontecer a qualquer momento após a categorização dos ativos, se os criminosos conseguirem encontrar algo valioso.
Mineração de criptomoeda – Enquanto o invasor procura um cliente para o espaço do servidor, um ataque de destino ou outro meio de monetização, a criptomoeda é usada para fazer dinheiro secretamente.
Revenda ou uso para ataque direcionado ou monetização adicional – Com base no que o criminoso encontra durante a categorização de ativos, eles podem planejar seu próprio ataque de ransomware direcionado, vender acesso ao servidor para espionagem industrial ou vender o acesso para outra pessoa monetizar ainda mais.
Frequentemente, o ransomware direcionado é o estágio final. Na maioria dos casos, a categorização de ativos revela dados que são valiosos para os negócios, mas não necessariamente valiosos para espionagem. Um conhecimento profundo dos servidores e da rede permite que os criminosos por trás de um ataque de ransomware direcionado atinjam a empresa onde dói mais. Esses cibercriminosos saberiam o conjunto de dados, onde vivem, se há backups dos dados e muito mais. Com esse projeto detalhado da organização em suas mãos, os cibercriminosos podem bloquear sistemas críticos e exigir um resgate mais alto
Além disso, embora um ataque de ransomware seja o problema urgente visível para o defensor resolver em tal incidente, o mesmo ataque também pode indicar que algo muito mais sério provavelmente já aconteceu: o roubo de dados da empresa, que deve ser incluido no planejamento de resposta da empresa. Mais importante ainda, deve-se observar que, uma vez que uma empresa encontre um IOC para criptomoeda, interromper o invasor imediatamente pode economizar muito tempo e dinheiro no futuro. Em suma, não importa onde os dados de uma empresa estão armazenados, a segurança da nuvem híbrida é crítica para prevenir que esse ciclo de vida comprometa seus servidores em nuvem.
Por Bruno Santos, Sales Engineer na Trend Micro