Portal O Debate
Grupo WhatsApp

O ciclo de vida de um servidor comprometido em nuvem

O ciclo de vida de um servidor comprometido em nuvem

23/10/2020 Bruno Santos

Recentemente, a equipe de pesquisa da Trend Micro desenvolveu um estudo que relaciona a hospedagem e a infraestrutura clandestina de criminosos cibernéticos.

Entender o ciclo de vida comum de um servidor que foi comprometido, desde o seu comprometimento inicial até os diferentes estágios de monetização buscados pelos criminosos, é importante para observar que, independentemente de o servidor de uma empresa ser local ou baseado em nuvem, os criminosos cibernéticos não se importam com o tipo de servidor que comprometem. Para eles, qualquer servidor exposto ou vulnerável é válido para suas jogadas.

Ao passo que a transformação digital segue evoluindo e potencialmente cresce, especialmente em momentos de grande adoção do trabalho remoto, os servidores em nuvem são mais propensos a serem expostos.

Muitas equipes de TI das empresas, infelizmente, não estão dispostas a fornecer a mesma proteção para a nuvem que os servidores locais.

Uma observação importante. Queremos enfatizar que este cenário se aplica apenas a instâncias de nuvem que replicam o armazenamento ou capacidade de processamento de um servidor local. Recipientes ou funções sem servidor não serão vítimas desse mesmo tipo de comprometimento.

Além disso, se o invasor comprometer a conta em nuvem, ao contrário de uma única instância em execução, haverá um ciclo de vida de ataque totalmente diferente, pois eles podem ativar os recursos de computação à vontade. Embora isso seja possível, no entanto, não é nosso foco aqui.

Muitas equipes de tecnologia e segurança da informação podem não procurar os estágios iniciais do ataque. Antes de ser atingido pelo ransomware, no entanto, existem outros alertas vermelhos que podem sinalizar as equipes sobre essa violação.

Se um servidor for comprometido e usado para mineração de criptomoeda, por exemplo, isso pode ser um dos maiores sinais de alerta para uma equipe de segurança.

A descoberta de malware de criptomineração em execução em qualquer servidor deve resultar na ação imediata da empresa e no início de uma resposta a incidentes para bloquear esse servidor.

Este indicador de comprometimento (IoC, na sigla em inglês) é significativo porque, embora o malware de criptomineração seja frequentemente visto como menos sério em comparação com outros tipos de malware, ele também é usado como uma tática de monetização que pode ser executada em segundo plano enquanto o acesso ao servidor é vendido para outras atividades maliciosas.

Por exemplo, o acesso pode ser vendido para uso como servidor de hospedagem clandestina. Enquanto isso, os dados podem ser exfiltrados e vendidos como informações de identificação pessoal (PII) ou para espionagem industrial, ou podem ser vendidos para um ataque de ransomware direcionado.

É possível pensar na presença de malware de criptomineração como o proverbial canário em uma mina de carvão: Este é o caso, pelo menos, de vários criminosos de acesso como serviço (AaaS) que usam isso como parte de seu modelo de negócios.

De modo a exemplificar como funciona o ciclo de vida de um ataque a servidor, elaborei o seguinte caminho:

Comprometimento inicial

Neste estágio, seja uma instância baseada na nuvem ou um servidor local, está claro que um criminoso assumiu o controle.

Categorização de ativos

Esta é a fase de inventário. Aqui, um criminoso faz sua avaliação com base em perguntas como: quais dados estão naquele servidor? Existe uma oportunidade de movimento lateral para algo mais lucrativo? Quem é a Vítima?

Exfiltração de dados confidenciais

Nesta fase, o criminoso rouba e-mails corporativos, bancos de dados de clientes e documentos confidenciais, entre outros.

Esse estágio pode acontecer a qualquer momento após a categorização dos ativos, se os criminosos conseguirem encontrar algo valioso.

Mineração de criptomoeda

Enquanto o invasor procura um cliente para o espaço do servidor, um ataque de destino ou outro meio de monetização, a criptomoeda é usada para fazer dinheiro secretamente.

Revenda ou uso para ataque direcionado ou monetização adicional

Com base no que o criminoso encontra durante a categorização de ativos, eles podem planejar seu próprio ataque de ransomware direcionado, vender acesso ao servidor para espionagem industrial ou vender o acesso para outra pessoa monetizar ainda mais.

Frequentemente, o ransomware direcionado é o estágio final. Na maioria dos casos, a categorização de ativos revela dados que são valiosos para os negócios, mas não necessariamente valiosos para espionagem.

Um conhecimento profundo dos servidores e da rede permite que os criminosos por trás de um ataque de ransomware direcionado atinjam a empresa onde dói mais. Esses cibercriminosos saberiam o conjunto de dados, onde vivem, se há backups dos dados e muito mais.

Com esse projeto detalhado da organização em suas mãos, os cibercriminosos podem bloquear sistemas críticos e exigir um resgate mais alto.

Além disso, embora um ataque de ransomware seja o problema urgente visível para o defensor resolver em tal incidente, o mesmo ataque também pode indicar que algo muito mais sério provavelmente já aconteceu: o roubo de dados da empresa, que deve ser incluido no planejamento de resposta da empresa.

Mais importante ainda, deve-se observar que, uma vez que uma empresa encontre um IOC para criptomoeda, interromper o invasor imediatamente pode economizar muito tempo e dinheiro no futuro.

Em suma, não importa onde os dados de uma empresa estão armazenados, a segurança da nuvem híbrida é crítica para prevenir que esse ciclo de vida comprometa seus servidores em nuvem.

* Bruno Santos é Sales Engineer na Trend Micro.

Fonte: Igor Reis



A onda do tsunami da censura

A onda do tsunami da censura prévia, da vedação, da livre manifestação, contrária à exposição de ideias, imagens, pensamentos, parece agigantar em nosso país. Diz a sabedoria popular que “onde passa um boi passa uma boiada”.


O desserviço do senador ao STF

Como pode um único homem, que nem é chefe de poder, travar indefinidamente a execução de obrigações constitucionais e, com isso, impor dificuldades ao funcionamento de um dos poderes da República?


Anedotas com pouca graça

Uma anedota, de vez enquanto, cai sempre bem; como o sal serve para temperar a comida, a anedota também adoça a conversa ou o texto.


Cada um no seu quadrado e todos produzindo…

Muito oportunas as observações do Prof. Ary Oswaldo Mattos Filho, de que em vez dos simples projetos que visam reforçar o caixa da União – como a alteração no Imposto de Renda ora em tramitação pelo Congresso – o país carece de uma verdadeira reforma tributária onde fiquem bem definidos os direitos e obrigações da União, Estados e Municípios.


Você já respirou hoje?

Diagnóstico e tratamento corretos salvam vidas na fibrose cística.


Jogos para enfrentar a crise

O mundo do trabalho nunca mais será o mesmo.


O trabalho de alta performance no Hipismo

O que os atletas precisam para o desempenho perfeito em uma competição? Além do treinamento e esforços diários, eles precisam estar em perfeita sintonia com o corpo e a mente.


Bons médicos vêm do berço

Faz décadas assistimos a abertura desenfreada de novas escolas médicas, sem condição de oferecer formação minimamente digna e honesta.


Wellness tech e a importância da saúde mental dentro das organizações

A pandemia de covid-19 impactou a vida de todos nós, pessoal e profissionalmente.


Manifestações do TDAH

Transtorno do Déficit de Atenção com Hiperatividade em adultos e crianças.


Cuidar da saúde mental do colaborador é fator de destaque e lucratividade para empresa

O Setembro Amarelo é uma campanha nacional de prevenção ao suicídio, mas que coloca em evidência toda a temática da saúde mental.


Setembro Amarelo: a diferença entre ouvir e escutar

Acender um alerta na sociedade para salvar vidas quando se fala em prevenção ao suicídio é tão complexo quanto o comportamento de uma pessoa com a intenção de tirar a própria vida.