Acredito que muitos ouviram falar da crise de abastecimento de combustível histórica que ocorreu nos Estados Unidos recentemente, a crise fez com que o governo declarasse estado de emergência em quase todo pais devido à escassez de combustível.

Agora, o que está por trás dessa crise?

A Colonial Pipeline, uma das principais operadoras de dutos de combustíveis dos EUA anunciou no dia 07/05/2021 que foi vítima de um ciberataque, confirmando logo em seguida que foi um Ransomware. Além de todo prejuízo a população a empresa pagou aproximadamente $4.4m milhões pelo resgate dos dados.

Várias fontes identificaram os atacantes como sendo do grupo DarkSide, em um report recente, pesquisadores do departamento de inteligência da Flashpoint disseram que acreditam que “os atores por trás do DarkSide Ransomware são Russos e provavelmente afiliados do REvil RaaS, grupo Ransomware-as-a-Service”.

A modalidade “as-a-service” vem crescendo muito nos últimos anos, existem empresas que já nascem 100% na cloud e aos poucos, as empresas “conservadoras” estão migrando seus serviços e plataformas para nuvem. Isso é uma tendência na era da informação, evoluir e melhorar os serviços, mas já pensaram no “lado negro” da tecnologia? Seria diferente quando falamos de hackers e ataques cibernéticos?

Em seu lançamento, o DarkSide focou em conseguir usuários de seus concorrentes com funcionalidades de aviso as vítimas e habilidade de publicar os dados das vítimas por etapas. A partir desse ponto, o malware foi evoluindo, em março, foi anunciado uma funcionalidade de “call service” que permite usuários a realizarem chamadas para pressionar as vítimas a efetuarem o pagamento, logo em seguida uma nova capacidade de lançar ataques de denial-of-service (DDoD) distribuídos.

Mas como o DarkSide ramsomware ataca?

O ransomware DarkSide segue um modelo que vem crescendo recentemente chamado de human-operated (operado por humano), que aproveita os conhecimentos de invasores humanos para se adaptar a rede e seus pontos fracos. Isso significa que os atacantes precisam de um acesso inicial, para isso utilizam diversos métodos como:

• Roubar credenciais: através de ataques de força bruta ou credenciais roubadas na Darkweb, por exemplo;
• Explorando vulnerabilidades em softwares;
• Ferramentas de Pentest para identificar pontos fracos;

O objetivo do ataque é identificar servidores críticos, escalar privilégios, desabilitar e deletar backups, e quando tudo estiver pronto, implantar o ransomware. Dessa maneira os atacantes conseguem copiar os dados do alvo, e criptografá-los, a partir desse ponto se inicia a fase de chantagem e extorsão.

O DarkSide utiliza algoritmos Salsa20 e RSA-1024 para criptografia dos arquivos, abaixo um exemplo de mensagem do ransomware:

Como prevenir ataques?

Algumas funcionalidades de segurança podem ajudar a prevenir ataques desse tipo, confira algumas dicas abaixo:

• Habilite Autenticação Multifator (MFA) para os usuários (principalmente administradores);
• Filtros de spam para prevenção de Phishing;
• Atualização de softwares;
• Implementação de Acesso Condicional;
• Implemente um gestão de Ciclo de vida de identidade e acesso;
• Monitore sua infraestrutura;
• Web Application Firewall (WAF);
• Realize testes de intrusão (PENTEST) regularmente;
• Implemente rotinas de backup.

A evolução da tecnologia vem nos ajudando a nos conectar e a passar por esse momento difícil de pandemia, vem acelerando o crescimento das empresas e deixando nosso dia-a-dia cada vez mais fácil. Porém, existe o outro lado da moeda, ataques vão ficando mais sofisticados, mais destrutivos, atacantes estão chegando cada vez mais perto de prejudicar a população e temos que cada vez mais pensar em segurança como um todo, desde o perímetro, passando por usuários e dados.