Escolar Documentos
Profissional Documentos
Cultura Documentos
cibersegurança em
2021 e o que esperar de 2022
TLP: WHITE
TLP: WHITE
Índice 02 Introdução
05 O trauma do ransomware
10 O quinto domínio
INTRODUÇÃO
A cibersegurança assumiu um papel determinante para
o destino do mundo nos últimos dois anos. Isto tem
relação com o aumento na quantidade de incidentes; nos
sistemas de infraestrutura crítica, apenas para citar um
exemplo, estes cresceram 3900% desde 20131. Mas esse
novo papel também é consequência da engenhosidade
humana que, de forma rápida e contínua, empurra à
frente a fronteira entre o que é obsoleto e o que é de
ponta, criando mercados bilionários em pouquíssimo
tempo, como o das NFTs2, os quais precisam de proteção.
Carlos Cabral
Pesquisador de Segurança
1
Predicts 2022: Cyber-Physical Systems Security — Critical Infrastructure in Focus.
Gartner. 17 November 2021.
2
NFT market OpenSea hits $1.5 billion valuation. TechCrunch. 20 July 2021.
TLP: WHITE
agências do governo americano e colocou mais de mento e administração de TI que permitem consolidar o geren-
18 mil outras organizações em risco . No centro do 4 ciamento de tecnologias heterogêneas simplificando a gestão
incidente estava o produto de administração de TI de ambientes que, sem uma solução como esta, dependem do
SolarWinds Orion, o qual foi comprometido pela acesso a múltiplas consoles para administrar sistemas variados.
inteligência russa, sendo usado como uma ponte No entanto, para que um produto como esse funcione, é neces-
para as redes das organizações de interesse . 5 sário que ele tenha acesso privilegiado a todos os sistemas que
administra. Quando esse acesso é comprometido, toda a rede
Mirar a cadeia de suprimentos não era algo novo, fica à mercê do atacante.
3
SolarWinds CEO Says Attackers Gained Entry, Began Recon in January 2019. SDxCentral. 19 May 2021.
4
As Understanding of Russian Hacking Grows, So Does Alarm. New York Times. 2 January 2021.
5
Russian Foreign Intelligence Service Exploiting Five Publicly Known Vulnerabilities to Compromise U.S. and Allied Networks. FBI. 15 April 2021.
6
Cyber Criminals Exploit Accellion FTA for Data Theft and Extortion. Mandiant. 22 February 2021.
7
Updated Kaseya ransomware attack FAQ: What we know now. ZDNet. 23 July 2021.
TLP: WHITE
Perdas na
Infraestrutura Ainda está em debate o quanto a falta de certas atividades,
por exemplo a do entretenimento ao vivo, nos tem sido
Crítica danosa enquanto as medidas de proteção contra a Covid-19
são necessárias. No entanto, não há discussão sobre a
importância dos setores de infraestrutura crítica, aqueles
cuja ausência pode distinguir uma sociedade entre um
estado de civilização ou de barbárie.
8
Meat giant JBS pays $11m in ransom to resolve cyber-attack. BBC. 10 June 2021.
9
Gas Pipeline Hack Leads to Panic Buying in the Southeast. New York Times. 11 May 2021.
10
Gas hits highest price in 6 years, fuel outages persist despite Colonial Pipeline restart. ABC News. 17 May 2021.
11
Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom. Bloomberg. 13 May 2021.
TLP: WHITE
Dentre os incidentes citados até aqui, não por acaso, a O nome LOLBins, tem origem no termo living off the land,
maioria envolveu o uso de ransomware; dizemos que que significa viver da terra ou viver de subsistência.
não é por acaso porque os ataques com esta ameaça Transpondo o termo para a área de cibersegurança, “viver
tiveram um aumento de 435% nos últimos 18 meses, da terra” significa usar os próprios programas — ou binários
segundo o Fórum Econômico Mundial12. No entanto, — do sistema operacional para conduzir os múltiplos passos
ainda há muita controvérsia em torno da ameaça devi- de um ataque o tornando imperceptível por ferramentas de
do às múltiplas interpretações sobre o modus operandi segurança tradicionais, pois o comportamento acaba sendo
dos criminosos que adotam este tipo de tática e sobre interpretado como algo esperado no sistema operacional.
como se proteger dela.
12
The Global Risks Report 2022. World Economic Forum. January 2022.
13
Táticas, técnicas e indicadores sobre as principais ameaças recentes de Double Extortion. Side Channel. Tempest Security Intelligence. 18 June 2020.
TLP: WHITE
em 2021
CVE-2021-22005 (CVSS 9.8) - Vulnerabilidade que
permite o upload arbitrário de arquivos no VMware
Vcenter Server, tornando possível a execução de
código em arquivo malicioso.
Assim que estabelecem algum tipo de controle sobre pelo menos um computador, começam as fases de movimentação
lateral e escalação de privilégios em que os atacantes buscam ter os mesmos acessos que o administrador da rede.
Nesta etapa, os criminosos usam diversas técnicas e ferramentas, com destaque para a adoção de produtos de
mercado - como o Cobalt Strike, o Empire e o Metasploit -, utilitários comuns à atividade de manutenção de
computadores, como o PsExec da Microsoft e a ferramenta open source Mimikatz.
TLP: WHITE
14
Funcionários da Renner fazem vídeo apoiando a área de tecnologia após ciberataque. Valor Econômico. 20 August 2021.
TLP: WHITE
Atendente
No âmbito social, há uma massa de indivíduos sem acesso
15
Atendente Impostor: como criminosos abusam de marcas famosas para enganar usuários nas redes sociais. Side Channel. Tempest Security Intelligence. 3 May 2021.
TLP: WHITE
O aumento na frequência deste tipo de golpe pode ser comprovado pelas estatísticas de nossa equipe de takedown.
De 2019 para 2020 houve um aumento de 768% nas requisições de retirada de perfis falsos nas redes sociais e este
volume subiu 47% em 2021. Ao todo, o volume de solicitações cresceu 1184% nos últimos 3 anos.
16
Um panorama sobre os principais golpes por WhatsApp e os meios de se proteger. Side Channel. Tempest Security Intelligence. 10 Jun 2021.
TLP: WHITE
domínio
Estônia – em uma disputa que teve início com a proposta
de retirada de uma estátua que fazia referência à herança
soviética do país – foram um marco inicial da
guerra cibernética17.
17
Inside Cyber Warfare: Mapping the Cyber Underworld. Jeffrey Carr. 2009.
18
Embargo dos EUA contra o software espião Pegasus não torna o ambiente cibernético mais seguro. El País. 12 December 2021.
19
ENISA Threat Landscape 2021. ENISA. October 2021.
20
2021 Global Threat Report. Crowdstrike. February 2021.
TLP: WHITE
Avanços e
turbulências:
uma perspectiva
para 2022
21
Cybersecurity spending trends for 2022: Investing in the future. CSO. 20 December 2021.
TLP: WHITE
Frutas baixas
para quadrilhas
de ransomware
O desestímulo não teria origem somente no menor volume de dinheiro, mas também no fato de que os ataques de Double Extor-
tion atraem muita atenção não só para a vítima, mas também para os atacantes e isso tem causado múltiplas complicações para
os criminosos, como as operações policiais contra afiliados do ransomware Netwalker22, Clop23 e, mais recentemente, do REvil25.
Embora não haja sinais de que os ataques com ransomware irão cessar completamente, eles vem caindo25.
Com menos dinheiro em jogo, afiliados de melhor nível técnico que poderão partir para outros tipos de atividade, buscando cortar
intermediários, como o desenvolvedor do ransomware, e executando ataques mais focados (e silenciosos) como o roubo de
informações e a simples extorsão das empresas, usando o ransomware somente em situações específicas.
Um fator que pode determinar o fluxo de novos entrantes nessa modalidade criminosa (bem como a retomada de veteranos)
é a descoberta de vulnerabilidades sérias e que afetam múltiplas tecnologias. Um exemplo disso de 2021 foi a falha crítica,
catalogada como CVE-2021-44228, apelidada como Log4Shell e que afeta o Log4j um popular software da Apache que está
presente em centenas de tecnologias26, de soluções de virtualização VMware, passando por sistemas de storage Dell EMC e até
produtos da Amazon AWS.
As recomendações para evitar se tornar um alvo continuam as mesmas desde que esta onda de ataque começou e podem
ser resumidas em monitorar o ambiente, definir e aplicar padrões de configuração, checar se não há dispositivos expostos na
Internet indevidamente, manter sistemas atualizados, treinar funcionários e prestadores de serviço para reconhecer ataques
e controlar as conexões com empresas que façam parte da cadeia de suprimentos27.
TLP: WHITE
22
Department of Justice Launches Global Action Against NetWalker Ransomware. The United States Department of Justice. 27 January 2021.
23
Кіберполіція викрила хакерське угруповання у розповсюдженні вірусу-шифрувальника та нанесенні іноземним
компаніяпів мільярда доларів збитків. Polícia Nacional da Ucrânia. 16 June 2021.
24
ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО
СООБЩЕСТВА. FSB. 14 January 2021.
25
Ransomware attacks decrease, operators started rebranding. Help Net Security. 3 January 2022.
26
CISA Log4j (CVE-2021-44228) Affected Vendor & Software List. CISA. 14 February 2022 (última atualização).
27
Double Extortion: ataques de vazamento de dados combinados com ransomware aumentam nas últimas semanas. Tempest. 08 May 2020.
TLP: WHITE
28
Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case. Wall Street Journal. 30 August 2019.
TLP: WHITE
Tratar infraestrutura
crítica como crítica
29
The Industrial Control System Cyber Kill Chain. Michael J. Assante and Robert M. Lee. 5 October 2015.
30
Фрагмент дослідження кібератак 14.01.2022. CERT-UA. 26 January 2022.
31
Actions to take when the cyber threat is heightened. National Cyber Security Centre. 28 January 2022.
TLP: WHITE
Se antecipar às
ameaças é a melhor
maneira de trazer mais
segurança ao seu negócio.
5 em 1
Relatórios disponíveis: No Radar, Situation
Report e TCA (Tempest Cyber Alert), Weekly
Landscape e Threat Landscape.
São 5 relatórios de
Threat Intelligence, contendo os CURADORIA TEMPEST
principais acontecimentos sobre Curadoria dos conteúdos sob a responsabilidade do
time especializado em Threat Intelligence da Tempest.
ameaças e ataques cibernéticos
com objetivo de manter nossos
clientes atualizados sobre os LEITURA EM UM ÚNICO LUGAR
temas mais relevantes Acesso à plataforma Prospero da Tempest para leitura
dos conteúdos, disponíveis até 50 usuários.
de cibersegurança.