Nesses novos tempos em que a Computação em Nuvem se tornou onipresente no universo da Tecnologia da Informação, muitas instituições optam por contratar soluções de armazenamento de dados nas nuvens, com o objetivo de usufruir uma série de vantagens oferecidas por esta classe de serviços! No entanto, também existe uma crescente preocupação em relação à segurança e a integridade dos dados, pois além de confiarmos a terceiros a guarda de informações sensíveis, ainda temos os riscos relacionados aos ataques cibernéticos…
“The BlackCat (ALPHV) ransomware gang now uses stolen Microsoft accounts and the recently spotted Sphynx encryptor to encrypt targets’ Azure cloud storage. While investigating a recent breach, Sophos X-Ops incident responders discovered that the attackers used a new Sphynx variant with added support for using custom credentials. After gaining access to the Sophos Central account using a stolen One-Time Password (OTP), they disabled Tamper Protection and modified the security policies. These actions were possible after stealing the OTP from the victim’s LastPass vault using the LastPass Chrome extension.”
— by Bleeping Computer.
Pelo visto, a Microsoft se tornou um alvo da sofisticada gangue de ransomware BlackCat! Os cibercriminosos utilizaram contas roubadas (previamente cadastradas pelas vítimas) e com base nelas, acionaram uma variante da ferramenta de criptografia Sphynx (modificada para utilizar as credenciais roubadas) e assim, criptografar os dados armazenados nas soluções de armazenamento em nuvem oferecida pela plataforma Azure. A descoberta foi feita pela equipe de respostas a incidentes da Sophos, que por sua vez detectou o acesso à uma conta (da Sophos Central) através de uma senha de uso único (OTP) roubada e a partir daí, eles desativaram a proteção contra adulteração, além de modificar as políticas de segurança.
Essas ações só foram possíveis de serem efetuadas, após a gangue roubar as chaves de acesso para as contas da plataforma Azure (provenientes do cofre LastPass), usando uma extensão provida para o suporte ao navegador WEB Google Chrome. Até o momento, 39 contas de armazenamento de dados foram afetadas e os seus respectivos arquivos, criptografados (os quais também receberam a extensão .zk09cvt). Além do Sphynx (que teve os seus binários modificados para receber as chaves de acesso, após estas serem codificadas no formato Base64), a gangue também fez o uso de outras ferramentas designadas para o gerenciamento remoto durante a invasão, como o AnyDesk, o Splashtop e a Atera.
Que lições poderemos tirar destes eventos? Muitas! Além de ser fundamental promover as estratégias e os métodos ideais para o armazenamento das cópias de segurança (regra “3-2-1”), também deveremos definir as políticas de segurança essenciais para garantir o acesso restrito a contas de usuários e seus dados (filosofia ZeroTrust), além de definir os critérios adequados para a implementação e utilização de softwares voltados para o armazenamento de senhas e chaves criptográficas, bem como o estabelecer a relação entre eles e as demais aplicações utilizadas pelo usuário, entre outras ações. Por fim, nem é preciso mencionar os procedimentos para realizar a restauração dos dados…
Pois nessas horas, a Lei de Murphy é (praticamente) infalível! &;-D