Últimas notícias

Fique informado

Reflexões sobre os ataques de Ransomware. Por Anchises Moraes

30 de agosto de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Ragnarok – Grupo de Ransomware revela sua chave de decriptografia

A gangue Ragnarok, também conhecida como Asnarok, fechou as portas esta semana, publicando a notícia em seu site.

28 de agosto de 2021

Tríade inseparável: LGPD, TI e cibersegurança

Outro fator importante, no qual uma consultoria para implementação de soluções para LGPD pode ajudar, é na necessidade de transparência

26 de agosto de 2021

Renner restabelece site após ataque hacker e nega contato com autores

Lojas Renner comunicou nesta terça-feira, 21, que foi restabelecida a operação de e-commerce nos sites após ataque hacker

24 de agosto de 2021

A espada de Dâmocles e o roubo de 600 milhões de dólares da Poly Network

A menção a Dâmocles no segundo posicionamento da Poly Network para extinguir “o incêndio”, teve intenção cirúrgica

18 de agosto de 2021

DarkSide, grupo de ransomware responsável pelo ataque Colonial Pipeline diz que parte do que recebe vai para caridade

O DarkSide também emprega táticas de extorsão dupla – juntando-se a Maze, Babuk e Clop, entre outros – para pressionar as vítimas a pagar

17 de agosto de 2021

Os ataques de ransomware a empresas está em alta, com diversas vítimas famosas ganhando a atenção da imprensa. Desde pequenos hospitais até grandes laboratórios e lojas de varejo já foram atacadas, incluindo o famoso ataque a Colonial Pipeline, que interrompeu a distribuição de gasolina em parte dos EUA por alguns dias.

Por Anchises Moraes

Anchises Moraes – Cyber Prevenger, Security Awareness and Threat Intelligence professional – Profissional de prevenção cibernética, consciência de segurança e inteligência de ameaças – Foto de arquivo

Podemos dizer, sem medo, que a sofisticação alcançada pelos ataques direcionados de ransomware fazem dessa ameaça o maior pesadelo dos CISOs e profissionais de segurança, atualmente.

No meu ponto de vista, precisamos de um grande esforço para mobilizar a comunidade de segurança para juntos, nos prevenirmos contra esses ataques e melhorarmos nossa capacidade e maturidade no momento em que precisamos responder a esta ameaça.

Do ponto de vista da prevenção, precisamos “fazer o arroz com feijão bem feito”, como diria um amigo, o Gustavo “Riva” Lourenço. Isso inclui gestão dos ativos de tecnologia, conscientização dos usuários, gestão de patches, segmentação do ambiente, gestão de identidades e uso de múltiplos fatores de autenticação e, principalmente, construir processos de resposta a incidentes – e treiná-los frequentemente, a exaustão.

Além disso, precisamos também usar a inteligência, muito além dos IOCs (indicadores de comprometimento): conhecer as técnicas, ferramentas e procedimentos (TTPs, sigla da expressão “Tools, Techniques and Procedures”) dos principais grupos de ransomware ativos e identificar se estamos devidamente protegidos contra eles.

Mas, graças a complexidade dos ataques e a competência dos atacantes, ainda assim as empresas podem ser afetadas por um ransomware, mesmo com a lição de casa bem feita. Nesta hora, a empresa vai contar com seu plano de resposta a incidentes e seu plano de recuperação de desastre. O negócio tem que conseguir funcionar mesmo com os sistemas de TI fora do ar.

Agora, é nesse momento que eu começo realmente meu artigo, minha tentativa de reflexão e crítica construtiva a comunidade.

Nós falhamos com a Renner. Desculpe 🙁

Recentemente a rede varejista Renner se somou as centenas de vítimas de ransomware, e ao rol de vítimas famosas. De hoje até o final dos dias, o logo dela estará estampado nas apresentações comerciais de todos os vendedores de produtos de segurança.

A empresa sofreu um grande ataque de ransomware, o RansonEXX, que paralisou seus sistemas. Mas, mesmo assim, conseguiu manter as lojas físicas funcionando e voltou a operação poucos dias depois. Ainda não conhecemos os detalhes do ataque nem do esforço de recuperação, mas talvez essas informações surjam com o tempo. Quem já teve que responder a um incidente de segurança sabe muito bem como é altamente extressante, principalmente porque a pressão é enorme! Além do esforço técnico para identificar o ataque, conter o agente malicioso e recuperar os sistemas, há uma grande pressão por parte de toda a empresa, e seus gestores, para que o problema seja resolvido rapidamente. O analista de segurança ainda nem sabe o que está causando a parada em todo o ambiente, mas o CTO já está na porta do datacenter perguntando quando o e-mail dele vai voltar a funcionar.

Enquanto os funcionários da Renner se esforçavam para recuperar os sistemas, a comunidade de segurança compartilhava memes, informações desencontradas e fake news. Parecia um circo romano, dessas cenas do Coliseu na Roma antiga, com seus gladiadores lutando pela vida enquanto a plateia se diverte. O show de horror envolvendo a reação da comunidade a esse ataque começou logo nos primeiros relatos sobre o ataque, que já foram acompanhados de diversos boatos, informações supostamente vazadas de dentro da empresa (incluindo um áudio que aparentemente descrevia o ataque – com diversas imprecisões – e a imagem da nota de resgate, que ilustra o título desse artigo), além de informações desencontradas e até mesmo fake news. O pior: todas as informações foram compartilhadas em diversos grupos em rede sociais, sem que as pessoas validassem sua veracidade e origem. Juntos vieram os memes, satirizando a situação da Renner.

Em diversos grupos de profissionais de segurança no WhatsApp, foram compartilhadas listas com os supostos indicadores de comprometimento (IOCs) associados ao ransomware que atacou a Renner. Na verdade, dois conjuntos diferentes de IOCs estavam sendo compartilhados, deixando claro que, sendo otimista, pelo menos uma das listas estava errada e era compartilhada sem ser validada. Provavelmente os indicadores foram coletados de ataques anteriores, esquecendo que geralmente os artefatos são customizados para cada vítima.

Esse incidente deixou evidente que nós, da comunidade de segurança, ainda precisamos amadurecer muito a nossa reação e, principalmente, nossa empatia às vítimas de ciber ataques.

A situação melhorou um pouco a partir da tarde de sexta-feira, segundo dia do ataque, quando algumas pessoas começaram a questionar nas redes sociais a postura tóxica da comunidade. Mais ou menos ao mesmo tempo, surgiu um vídeo aonde os funcionários das lojas da Renner prestavam homenagem aos profissionais de TI da empresa.

Provavelmente, esse comportamento imaturo que observamos na comunidade durante o ataque a Renner tem raízes psicológicas. Ele acontece porque estamos acostumados a criminalizar a vítima, e assim, parece justificado fazer chacota ou desconsiderar a sua dor. Ou seja, existe uma cultura de atribuir a culpa a vítima, como se ela tivesse causado o problema ou feito por merecer o ataque. Além disso, há o medo das demais empresas também serem atacadas por ransomware, o que fomenta uma busca desenfreada por informações.

Mas também há um problema técnico, que deve ser tratado por nossa comunidade. Como não temos uma entidade confiável que centralize e compartilhe publicamente informações sobre ciber ataques, como um centro de resposta a incidentes nacional, as pessoas acabam compartilhando qualquer informação que tenha acesso, inclusive sem recursos a sua disposição para validar sua autenticidade. Uma rara exceção aconteceu durante o ataque ao STJ em novembro de 2020, quando o pessoal do CAIS/RNP e do CTIR.gov tomaram a iniciativa de centralizar as informações sobre aquele ataque. Nessa hora, para suprir essa lacuna, os grupos em redes sociais entram em loucura, e também aparecem algumas empresas compartilhando dicas e recomendações, para fazer o seu merchant, mas que também podem ser imprecisas ou incompletas.

Sinceramente, eu sinto que nosso mercado está amadurecendo, principalmente depois dos ataques ao STJ, ao laboratório Fleury (quando, pela primeira vez, eu vi a comunidade questionar e criticar o compartilhamento indiscriminado de IOCs), e agora com o caso da Renner.

O nosso desafio, neste momento, é repensar a nossa postura, e tentarmos ajudar com a solução do problema, em vez de piorá-lo. Ainda temos um longo caminho pela frente, mas você quer ser parte do problema ou da solução?

Esse artigo foi baseado em meu post no meu blog pessoal sobre esse tema: Reflexões sobre o ataque a Renner

Dicas de leitura

Artigo original (e um pouco mais detalhado) no meu blog: Reflexões sobre o ataque a Renner.

É sério que estamos em 2021 e você ainda fala de “double extorsion”? – Ransomwares e Septuple Extorsion.

Você saiu hoje de uma caverna e não sabe de nada sobre o caso? Leia essa reportagem da The Hack: Urgente! Lojas Renner podem ter sido vítimas de ransomware; site sai do ar.

Retrospectiva: O ano de ouro da ciber pandemia de Ransomware.

Excelente artigo do Carlos Cabral: Ser vítima não é o mesmo que ser incompetente, pense nisso ao lidar com ransomware

Lord Anchises Moraes Brazilborn of the house Hacker, First of His Name, Born in Computer Science, Work-aholic of Security, Breaker of Cyber Attacks and Observer of the Deep Web, Cyber Evangelist of the C6 Bank, founder of Security BSides São Paulo, Supreme Chancellor of Garoa Hacker Clube, He for She of WOMCY (LATAM Women in Cybersecurity), director of the Cloud Security Alliance (CSA) Brazil Chapter, Security Specialist and Protector of the Cyber Space realm.

Anchises is an active member of Brazilian Information Security community with over 20 years of experience in Information Technology, InfoSec and Cyber Fraud.

Strong experience designing and integrating complex solutions for large companies, interfacing with senior executives and technical staff. Skills include security policies, technologies, project management, fraud prevention and threat intelligence. Able to assume a leadership role to implement business and technology strategies efficiently and effectively.

Currently working at C6 Bank to build a cyber culture and a security posture across the entire organization, including customers and external communities. In my previous work at RSA Security as Threat Intelligence Analyst, I provided timely support to Sales team and customers on fraud detection technologies and understanding on cyber fraud and security risks in Latin America. Previous works include Cyber Intelligence Analyst at iDefense, Verisign, and also an independent consultant for Brazilian large and small business. Former security officer at leading Telecom and ISP companies in Brazil. Early professional experiences include working as Security Product Manager and Internet & UNIX System Administrator.

Bachelors Degree in Computer Science from IME-USP (www.ime.usp.br), Master Degree in Marketing from ESPM (www.espm.br). Previous certifications include CISSP, ITIL Foundation and SANS GIAC GHTQ. I’ve been authoring articles, working as instructor and speaker at conferences in Brazil and overseas.

President of ISSA Chapter Brasil from 2008 to 2009. Director and one of the founder members of Cloud Security Alliance (CSA) Chapter Brazil and active member of Garoa Hacker Clube, the first hackerspace in Brazil. Founder and organizer of Security BSides São Paulo conference.

= Views are my own =

anchisesbr.blogspot.com | twitter.com/anchisesbr 

Fonte: LinkedIn

Renner restabelece site após ataque hacker e nega contato com autores

A espada de Dâmocles e o roubo de 600 milhões de dólares da Poly Network

Ser vítima não é o mesmo que ser incompetente, pense nisso ao lidar com ransomware

Ragnarok – Grupo de Ransomware revela sua chave de decriptografia

22mai09:0018:00The Tech Summit 20241ª edição no dia 22 de maio no Palácio Tangará, em São Paulo. 09:00 - 18:00 PALÁCIO TANGARÁ, R. Dep. Laércio Corte, 1501 - São Paulo, SP