Home Blogs Hacktivismo em foco: Seu site está em risco? – Edgio
Applications

Hacktivismo em foco: Seu site está em risco? – Edgio

About The Author

Outline

Por: Tom Gorip & Andrew Johnson

Você provavelmente já notou que a frequência de ataques cibernéticos nas manchetes cresceu drasticamente desde o início da guerra entre Israel e Hamas. Nós vimos uma caminhada em tudo, desde a defacement do site a ataques DDoS até a exfiltração de dados de hacktivistas em todo o mundo. Não houve fronteiras nem fronteiras que não estejam dispostas a atravessar.

Embora ataques mais notáveis em sites altamente públicos como o Jerusalem Post façam manchetes de notícias, uma tendência interessante que notamos são defacements de sites de um para muitos em alvos menos visíveis. O que queremos dizer com “um para muitos” são ataques direcionados a um único recurso para comprometer muitos sites. Muitos dos ataques que vimos, que afirmam estar ligados a interesses de conflito no Oriente Médio, estão atrás de IPs únicos, o que nos levou a supor que muitos desses agentes de ameaças (TA) estão ganhando acesso a um único recurso ou aplicativo vulnerável que lhes permite manipular qualquer site sentado atrás desse proxy ou naquele servidor. A maioria dos ataques que vimos que seguem esse padrão aproveitaram os provedores de hospedagem. Consideramos estes ataques oportunistas e, consequentemente, não tiramos ninguém da lista de potenciais alvos, a Internet é o seu alvo.

O SISTEMA DE ERROS CYBER DO ator DE ameaças se flexiona após vários desfacements do site, tudo em um único IP

Ao longo das últimas duas semanas, temos analisado os defacements de sites anunciados publicamente em fóruns de hackers, e o que descobrimos foi um pouco inesperado e certamente interessante. Por exemplo, dos ataques de defacement de sites 4 069 relatados por hacktivistas nas últimas duas semanas, encontramos 3 480 domínios únicos direcionados, mas limitados a apenas 1 426 endereços IP exclusivos. Indo um passo adiante, encontramos apenas cerca de 271 ASN (Números Autônomos do Sistema) exclusivos associados à mesma lista de alvos.

Essas estatísticas falam volumes para os tipos de alvos que esses hacktivistas estão indo atrás. Se você ainda está se perguntando se seu próprio site está em risco… bem é! Você pode pensar que sites menos traficados são muito pequenos para ser pego nesta guerra, mas a realidade é que os atacantes estão aproveitando todas as oportunidades que podem conseguir para postar sua bandeira no site de alguém em nome do hacktivismo. Embora não possamos falar com os motivos de cada TA individual, é provável que a maioria tenha algum desejo de ganhar credibilidade e estimular o orgulho enquanto eles postam em uma sala cheia de indivíduos esperando para celebrar seus sucessos. Vamos percorrer alguns exemplos para ilustrar nossa hipótese.

Ator de Ameaça: SanRei

Neste exemplo, vamos olhar para um TA que vai pelo nome SanRei. Esse indivíduo visava 69 domínios exclusivos em 23 endereços IP exclusivos e 15 ASN’s. Setenta e dois por cento das metas da SanRei estão dentro do ASN de um único provedor de hospedagem.

Além disso, depois de analisar nove domínios, encontramos vários sites que continham o mesmo texto/cópia, mas com diferentes gráficos, layouts de página e temas. Os sites certamente parecem relacionados. Se o TA criou e controlou os sites, que eles mais tarde defaram e se gabaram em um canal do Telegram, é difícil de provar, mas certamente é uma forte possibilidade.

Sites com conteúdo muito semelhante, hospedados no mesmo IP, mais tarde alegaram ser desfigurados pela SanRai.

Ator de Ameaça: ./BRILLIANT

Em seguida, examinando o trabalho de um TA que passa pelo nome ./BRILLIANT, encontramos esse indivíduo direcionado a 1 112 domínios exclusivos em 229 endereços IP exclusivos e 61 ASN’s. Setenta por cento dos domínios alvo BRILHANTES estão dentro do ASN da Universitas Gadjah Mada. Parece provável que ./BRILLIANT encontrou uma vulnerabilidade dentro de um único aplicativo que hospeda vários blogs individuais em *.web.ugm.ac.id.

Successful attacks were highly concentrated on a single ASN

No Face Value, ./BRILLIANT parece que eles comprometeram mais de 700 sites, mas a realidade provável é que eles tenham um e alavancado esse acesso para manipular muitos blogs individuais. Muito bem sucedido compromisso um-para-muitos.

Ator de Ameaça: AnonCyber504_ID

Esses hacktivistas não têm apenas como alvo sites e blogs falsos, sites de negócios legítimos também estão em sua lista de alvos. O ator de ameaças AnonCyber504_ID visava 60 domínios exclusivos em 37 endereços IP exclusivos e 16 ASN’s. Quarenta e seis por cento das metas da AnonCyber504 estão dentro do ASN de um provedor de hospedagem, e muitos parecem pertencer a negócios legítimos.

Message left by AnonCyber504 on legitimate business websites

Embora nenhum dos sites desfigurados que examinamos pertençam a uma empresa da Fortune 500, o ponto aqui é que os hacktivistas e outros TA parecem estar segmentando sites indiscriminadamente, sejam eles grandes ou pequenos, governamentais ou empresas privadas.

Conclusão

Temos certeza de que você já ouviu falar da maioria dessas coisas antes, mas o que se pode fazer para proteger seu site de ataques hacktivistas um para muitos?


Você está cansado de ver isso na lista de recomendações ainda? Há um ditado: “Quando você está cansado de dizer isso, as pessoas estão começando a ouvi-lo.” Nesse caso, certifique-se de que o MFA seja aplicado em todas as contas com acesso aos recursos da Web e painéis de administração.


Sabemos que você pode ter esse projeto de implantação de proteção de endpoint que parou há seis meses. Gire-o de volta, é hora de torná-lo uma prioridade. Isso pode percorrer um longo caminho na redução de sua carga de trabalho de segurança na estrada.


O patch é uma tarefa ingrata e é executado para sempre, mas é extremamente necessário. Como você acha que esses ataques um-para-muitos estão ocorrendo? Aproveite o tempo para construir um bom programa, você vai agradecer a si mesmo a longo prazo.

Aplicação Web e Proteção de API
Como mencionamos antes, o patch é difícil, mas quando você aproveita um bom WAF (Web Application Firewall), especialmente um servidor de nuvem com proteção DDoS integrada, segurança de API e muito mais. e gerenciamento de bots, você será capaz de respirar mais facilmente sabendo que você pode ficar protegido entre o momento em que uma vulnerabilidade é descoberta e um patch é implementado, com recursos como patches virtuais.

Proteja todos os seus sites
Enquanto a maioria das organizações maduras tem muitas dessas salvaguardas em vigor, as atividades recentes realizadas por hacktivistas sublinham a importância de proteger todos os seus ativos da web, não apenas os seus sites de “joia da coroa”.


Esta frase cria tanta náusea, mas achamos que é completamente subestimada. Não nos surpreenderia se a maioria desses compromissos um-para-muitos começasse com um ataque de phishing. Aproveite o tempo para se certificar de que sua equipe entende por que todos esses controles de segurança são necessários. A chave aqui é certificar-se de que é oportuna, relevante e envolvente. Tem problemas para torná-lo envolvente? Entre em contato; nossa equipe tem uma tonelada de ideias para ajudar.

Para saber mais sobre a premiada solução WAAP (Web Application and API Protection) da Edgio , entre em contato com um de nossos especialistas em segurança.