Check Point Software analisa a vulnerabilidade crítica de dia zero do MOVEit
Os pesquisadores da empresa orientam às organizações para uma estratégia de prevenção e implementação de controles de segmentação para limitar o impacto de um ataque e monitoramento mais completo para garantir um nível mais alto de visibilidade em vários vetores de ataque, incluindo a rede e os usuários
Os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, analisaram e comentaram sobre a recente vulnerabilidade encontrada no MOVEit “armada” em ataques de ransomware.
O MOVEit é uma solução de software de transferência de arquivos gerenciada (MFT – Managed File Transfer) desenvolvida pela Progress Software Corporation (anteriormente Ipswitch). A solução foi projetada para transferir arquivos com segurança dentro ou entre organizações. O MOVEit oferece uma plataforma centralizada para gerenciar transferências de arquivos, fornecendo recursos de segurança, conformidade e automação.
Em maio deste ano, a Progress divulgou uma vulnerabilidade no MOVEit Transfer e MOVEit Cloud (CVE-2023-34362) que poderia levar a privilégios escalonados e possível acesso não autorizado ao ambiente. Após a descoberta, a Progress iniciou uma investigação, forneceu etapas de mitigação e lançou um patch de segurança, tudo em 48 horas.
No entanto, durante esse período, os cibercriminosos associados ao grupo de ransomware Clop, afiliado à Rússia, exploraram a vulnerabilidade e lançaram um ataque à cadeia de suprimentos contra os usuários do MOVEit. Entre eles estava o provedor de serviços de folha de pagamento Zellis, que foi a primeira a divulgar uma violação de segurança neste mês (junho de 2023), embora muitos outros tenham sido afetados. Até agora, oito de seus clientes relataram roubo de dados e acredita-se que centenas de outros tenham sido afetados.
Após o ataque, o grupo de ransomware com motivação financeira exigiu pagamento para impedir que os dados fossem divulgados publicamente. Em uma postagem na Dark Web, eles disseram: “Somos os únicos que realizam esse ataque e relaxem porque seus dados estão seguros. Devemos proceder da seguinte forma e você deve ficar atento para evitar que medidas extraordinárias afetem sua empresa”.
Ransomware: pagar ou não pagar?
O ransomware é uma das maiores ameaças à segurança de uma organização. Nos primeiros dias, os ataques eram distribuídos por meio de um grande número de cargas automatizadas para alvos aleatórios, coletando pequenas quantias de cada ataque “bem-sucedido”. Agora, esses ataques evoluíram para se tornarem processos operados principalmente por humanos, executados por várias entidades ao longo de várias semanas.
O que é evidente na exploração do MOVEit é como os grupos de ransomware mudaram o foco da criptografia de dados para a extorsão de dados. Por quê? Porque os dados não criptografados são mais valiosos. Os dados podem ser lançados em domínio público quase imediatamente, o que significa que as vítimas estarão ansiosas para recuperá-los, não importa o custo.
Embora alguns possam pensar que essas são ameaças vazias, os pesquisadores da Check Point Research observaram como essa abordagem pode ser eficaz como no caso da seguradora de saúde australiana Medibank. Quando se recusaram a pagar os pedidos de resgate de US$ 10 milhões em outubro de 2022, os cibercriminosos despejaram informações pessoais relacionadas à interrupção da gravidez, abuso de drogas e álcool, problemas de saúde mental e outros dados médicos confidenciais.
A questão é: as organizações devem pagar? A maioria dos especialistas acredita que o pagamento de demandas não impedirá futuros incidentes. Em entrevista ao iNews, Simon Newman, membro do Conselho Consultivo da International Cyber Expo, disse que: “Pagar resgates a criminosos cibernéticos não garante que todos os dados serão devolvidos. Na verdade, na maioria dos casos, é extremamente raro e pode simplesmente expor você a novos ataques de ransomware no futuro”. Alguns governos propuseram sanções contra o pagamento a esses grupos, incluindo Austrália, Reino Unido e EUA. Isso pode explicar o porquê de os lucros do ransomware caírem 40% em 2022 para US$ 456,8 milhões.
Uma brecha na cadeia de suprimentos
Esse incidente é um exemplo clássico de como a cadeia de suprimentos é fértil para os cibercriminosos. De acordo com um relatório da organização sem fins lucrativos Identity Theft Resource Center, os ataques à cadeia de suprimentos ultrapassaram o número de ataques baseados em malware em 40% em 2022, com mais de 10 milhões de pessoas e 1.743 entidades afetadas.
A maioria das organizações investirá tempo e recursos para se tornar mais resiliente contra ataques cibernéticos. Deverão ainda não se esquecerem de avaliar a segurança de seus provedores terceirizados ou ampliar a visibilidade sobre o software e os serviços que estão usando para a correção de vulnerabilidades.
Os especialistas da Check Point Software ressaltam que, para operar com responsabilidade, as organizações precisam se apropriar de sua estratégia de segurança cibernética e parte disso inclui entender as fraquezas de terceiros como se fossem suas. Isso é crucial porque um ataque não afeta apenas o alvo, mas também seus funcionários, cujos dados agora estão expostos. Quando os dados pessoais são comprometidos, colocamos esses indivíduos em maior risco de serem alvo de novos ataques, bem como de golpes de phishing, com cibercriminosos esperando roubar credenciais ou até mesmo informações bancárias.
É fundamental que as empresas adotem uma mentalidade de prevenção e implementem controles mais rígidos, como segmentação para limitar o impacto de um ataque e monitoramento mais completo para garantir um nível mais alto de visibilidade em vários vetores de ataque, incluindo a rede e os usuários.
Em relação à vulnerabilidade no MOVEit, as soluções Check Point IPS blade, Check Point Harmony Endpoint e Threat Emulation fornecem proteção contra essas ameaças: MOVEit Transfer SQL Injection (CVE-2023-34362); Webshell[.]Win[.]Moveit, Ransomware[.]Win[.]Clop, Ransomware_Linux_Clop; Exploit[.]Wins[.]MOVEit .