Faz já 4 anos desde o ataque de ransomware sofrido pela Sonangol, e desde então, alguns bancos foram vítimas do ESXiArgs, que provou que nem infraestruturas virtuais estão imunes a esse tipo de ataques, muito mais quando estão desactualizadas.
Mas diante dos últimos acontecimentos, Angola encontra-se na mira de tais grupos que veem nas infrastruturas do país, um alvo fácil de atingir. tendo feito vítimas como a Ende e Cosal, cuja autoria foi atribuída ao grupo BlackCat e a Infrasat, tendo este último sido contido sem muitos danos.
#Blackcat ransomware group has announced 11 new victims in last 24 hours🚀
— Daily Dark Web (@DailyDarkWeb) September 22, 2023
- SAGAM Groupe 🇫🇷
- Carlo Ditta 🇺🇸
- Yusen Logistics 🇯🇵
- PainCare 🇳🇱
- TAOGLAS 🇺🇸
- RUKO 🇩🇪
- Mole Valley Farmers 🇬🇧
- ENDE 🇦🇴
- Cosal 🇦🇴
- Arail 🇸🇦
- Unique Engineering 🇹🇭#DarkWeb #ransomware pic.twitter.com/xW2D00Sold
Partilho neste artigo mais algumas dicas para ajudar a defender a sua infrastrutura, adiando apenas o dia do ataque.
O que o utilizador quer vs o que precisa#
“Assim não consigo fazer nada!” é uma das frases que os utilizadores usam quando se deparam com restrições. Porém, muitos não especificam o que “não conseguem fazer” e tentam de certa maneira, exercer pressão psicológica sobre o técnico informático para liberar acessos/permissões, sem sequer ter ideia que isso pode colocar em risco a segurança da empresa. Cabe ao administrador usar o Princípio do Menor Privilégio e atribuir apenas as permissões necessárias e/ou acessos aos servidores que necessita, de forma a mitigar qualquer ataque que venha desse utilizador.
Atenção ao movimento lateral#
Enquanto pensamos em nos proteger de ataques vindos diretamente de utilizadores, não nos podemos esquecer de penetrações feitas por um sistema vizinho, presente na mesma subnet. A isto é chamado movimento lateral. Como exemplo, temos alguém que acede a um servidor por RDP, e a partir desse, acede a outros na mesma subnet, passando as restrições da firewall a empresa. Para combater isso, o ponto a seguir é importante.
Windows Firewall é teu amigo#
Muitos administradores desligam o Windows Firewall por acharem um empecilho. Infelizmente fazem isto porque, inicialmente, parece complicado. Mas na verdade, ele se torna uma última linha de defesa, principalmente por redes que não necessitam de ter acesso aos servidores. O Windows Firewall, juntamente com o Group Policy (GPO), permite gerir bloqueios ou acessos que não podem ser desativados por utilizadores. Procure saber mais sobre ele e mantem ligado, porque pode salvar o teu negócio.
O elo mais fraco não é o utilizador#
Tal como os utilizadores, os administradores de sistema não podem se esquecer que também não estão imunes ao roubo de credenciais. Muitos gostam de se excluir das próprias políticas que implementam, e descobrem tarde demais que os acessos ilimitados que tinham podem também ser usados por outros. Limita o número de utilizadores com acessos administrativos total e não te exclui das restrições impostas pela empresa só que achas que “isso não acontece comigo”.
Administrator não é do povo#
Os administradores de sistema devem parar de usar o utilizador Administrator para qualquer tarefa e usar o seu próprio, porque isto permite, em caso de problemas, poder rastear que utilizador fez o que. Mas isso não quer dizer que ele deve ser totalmente abandonado. Faz um plano de alterar a senha do mesmo anualmente, e verifica se alguém tem usado o mesmo para acesso. Ainda existem alguns serviços que dependem da conta administrator infelizmente.
Protege os administradores locais#
Implementa o Windows LAPS nas workstations e servidores para melhor segurança, ficando o utilizador administrativo de cada máquina com uma senha única. Elimina os utilizadores de domínio de serem administradores das próprias máquinas, e para aqueles utilizadores técnicos, fornece a senha do LAPS para permitir instalações. O mesmo também é recomendável ser feito noser servidores, mas usa a rotatividade da senha de 30 dias, para melhor protecção.
Aplicações não geridas são um risco#
É como os utilizadores e alguns administradores instalarem ferramentas de assistência remota, como o Anydesk ou Teamviewer, para facilidade de trabalho. Acontece que, não sendo essas ferramentas geridas centralmente, raramente são atualizadas, expondo o utilizador a uma vulnerabilidade, ou mesmo, a permitir acesso a sua máquina, como também a rede. Usa o GPO para bloquear o seu funcionamento, já que muitos grupos de cibercriminosos fazem uso do mesmo. Para os que necessitam de usar, é importante bloquear o acesso não supervisionado e forçar o utilizador a fazer uso de VPN ou ZTNA.
Assume que o teu computador nunca está seguro#
No caso de uma falha de segurança, a informação não encriptada no teu computador que fica disponível para o atacante pode causar ainda mais danos, desde senhas guardadas em planilhas do Excel ou em ficheiros texto, a até senhas gravadas em ligações RDP, isto deve ser eliminado. Usa uma aplicação como [Remote Desktop Manager] ( https://devolutions.net/remote-desktop-manager/), que te permite criar uma base de dados com senha e que sejas forçado a inseri-la sempre que abrires a aplicação. Usa uma aplicação local como o Kepass para guardares toda informação confidencial, e melhor ainda, ao invés de usar uma senha, cria uma chave e guarda em uma pendrive, de maneira que ela possa estar sempre separada do computador quando te ausentares.
Na névoa da guerra, o conhecimento é a melhor arma#
O grande problema destes ataques é que só temos damos conta deles quando acontece. Felizmente, existem sites que agregam informação da Dark Web e podem nos dar um avanço sobre os movimentos do inimigo. Um destes sites é o SOCRadar, que fornece informações sobre fugas de credenciais, como possíveis movimentações ou pré-ataques, permitindo o administrador reagir antes de um ataque iminente.
Por outro lado, websites como o Bleeping Computer, Dark Reading e CSO Online são óptimos recursos para todo administrador estar a par dos últimos acontecimentos em relação a vulnerabilidades e/ou ataques.
A melhor segurança é a eterna vigilância#
Implementa as melhores práticas sugeridas pela CISA e CIS para todos os dispositivos presentes na tua rede. Mata os dispositivos End of Life que proliferam na rede, tornando um risco. Desactiva contas não usadas a mais de 90 dias.
Acho que cobri uma boa parte de dicas que já não tenha tocado no artigo anterior, mas não te esqueças, o trabalho dum administrador de sistemas nunca está completo. Principalmente nestes tempos loucos que vivemos.