Por: Tom Gorip e Andrew Johnson
Provavelmente já repararam que a frequência dos ciberataques nas manchetes cresceu drasticamente desde o início da guerra Israel/Hamas. Vimos uma caminhada em tudo, desde a desfiguração de sites a ataques DDoS até a exfiltração de dados de hacktivistas em todo o mundo. Não houve fronteiras nem fronteiras que não estejam dispostas a atravessar.
Enquanto ataques mais notáveis em sites altamente públicos como o The Jerusalem Post são manchetes de notícias, uma tendência interessante que notamos são defacões de sites de um para muitos em alvos menos visíveis. O que queremos dizer com ‘um para muitos’ são ataques direcionados a um único recurso para comprometer muitos sites. Muitos dos ataques que vimos, que afirmam estar ligados a interesses de conflito no Médio Oriente, estão atrás de IPs únicos, o que nos levou a supor que muitos desses agentes de ameaças (AT) estão a obter acesso a um único recurso ou aplicação vulnerável que lhes permite manipular qualquer site que esteja atrás desse proxy ou naquele servidor. A maioria dos ataques que vimos que seguem este padrão aproveitaram os provedores de hospedagem. Consideramos estes ataques oportunistas e, consequentemente, não tiramos ninguém da lista de potenciais alvos, a Internet é o seu alvo.
Nas últimas duas semanas, temos analisado as defacções de sites anunciados publicamente nos fóruns de hackers, e o que descobrimos foi um pouco inesperado e certamente interessante. Por exemplo, dos ataques de desfacement de 4 069 sites relatados por hacktivistas nas últimas duas semanas, encontramos 3 480 domínios únicos direcionados, mas limitados a apenas 1 426 endereços IP únicos. Indo um passo mais longe, encontrámos apenas cerca de 271 ASN únicos associados à mesma lista de alvos.
Estas estatísticas falam muito sobre os tipos de alvos que estes hacktivistas estão a seguir. Se você ainda está se perguntando se o seu próprio site está em risco… bem é! Podem pensar que sites menos traficados são demasiado pequenos para serem apanhados nesta guerra, mas a realidade é que os atacantes estão a aproveitar todas as oportunidades que podem conseguir para publicar a sua bandeira no site de alguém em nome do hacktivismo. Embora não possamos falar com os motivos de cada TA individual, é provável que a maioria tenha algum desejo de ganhar credibilidade e estimular o orgulho ao publicar em uma sala cheia de indivíduos à espera de celebrar seus sucessos. Vamos percorrer alguns exemplos para ilustrar a nossa hipótese.
Ator de Ameaça: SanRei
Neste exemplo, vamos olhar para um TA que vai pelo nome SanRei. Este indivíduo visava 69 domínios únicos em 23 endereços IP únicos e 15 ASN’s. Setenta e dois por cento dos alvos da SanRei estão dentro da ASN de um único provedor de hospedagem.
Além disso, depois de analisar nove domínios, descobrimos que vários dos sites continham o mesmo texto/cópia, mas com diferentes gráficos, layouts de página e temas. Os sites certamente parecem relacionados. Se o TA criou e controlou os sites, que eles mais tarde desfiguram e se gabaram em um canal do Telegram, é difícil de provar, mas certamente é uma forte possibilidade.
Sites com conteúdo muito semelhante, hospedados no mesmo IP, mais tarde alegaram ser desfigurados pela SanRai.
Ator de Ameaça: ./BRILHANTE
Em seguida, examinando o trabalho de um TA que passa pelo nome./BRILLIANT, encontramos este indivíduo direcionado a 1 112 domínios únicos em 229 endereços IP únicos e 61 ASN. Setenta por cento dos domínios alvo BRILHANTES estão dentro do ASN da Universitas Gadjah Mada. Parece provável que ./BRILLIANT tenha encontrado uma vulnerabilidade dentro de um único aplicativo que hospeda vários blogs individuais em *.web.ugm.ac.
No Face Value, ./BRILLIANT parece que eles comprometeram mais de 700 sites, mas a realidade é que eles conseguiram um e aproveitaram esse acesso para manipular muitos blogs individuais. O compromisso bem-sucedido de um para muitos.
Actor de Ameaça: AnonCyber504_ID
Esses hacktivistas não têm apenas como alvo sites e blogs falsos, os sites de negócios legítimos também estão em sua lista de alvos. O ator de ameaças AnonCyber504_ID segmentou 60 domínios únicos em 37 endereços IP únicos e 16 ASN’s. Quarenta e seis por cento dos alvos da AnonCyber504 estão dentro da ASN de um provedor de hospedagem, e muitos parecem pertencer a negócios legítimos.
Embora nenhum dos sites desfigurados que examinámos pertençam a uma empresa da Fortune 500, o ponto aqui é que os hacktivistas e outros TA parecem ter como alvo sites indiscriminadamente, sejam eles grandes ou pequenos, governamentais ou empresas privadas.
Conclusão
Temos a certeza de que já ouviram falar da maioria destes antes, mas o que podemos fazer para proteger o seu website de ataques hacktivistas de um para muitos?
Autenticação multifator
Você está cansado de ver isso na lista de recomendações ainda? Há um ditado: “Quando você está cansado de dizê-lo, as pessoas estão começando a ouvi-lo.” Nesse caso, certifique-se de que o MFA é aplicado em todas as contas com acesso aos seus recursos da web e painéis de administração.
Sabemos que você pode ter esse projeto de implementação de proteção de endpoint que parou há seis meses. Faz com que seja uma prioridade. Isso pode ser um longo caminho para reduzir a carga de trabalho de segurança no caminho.
A aplicação de patches é uma tarefa ingrata e continua para sempre, mas é extremamente necessária. Como acham que estes ataques de um para muitos estão a acontecer? Tire um tempo para construir um bom programa, você vai agradecer a si mesmo a longo prazo.
Aplicação Web e Proteção de API
Como mencionamos antes, a aplicação de patches é difícil, mas quando se utiliza um bom WAF (Web Application Firewall), especialmente um servidor na nuvem com proteção DDoS integrada, segurança de API e gestão de bots, será possível respirar mais facilmente sabendo que pode ficar protegido entre o momento em que uma vulnerabilidade é descoberta e um patch é implementado, com recursos como a aplicação de patches virtuais.
Enquanto a maioria das organizações maduras tem muitas dessas salvaguardas em vigor, as atividades recentes realizadas pelos hacktivistas sublinham a importância de proteger todos os seus ativos na web, não apenas os seus sites de “joia da coroa”.
Esta frase cria tanta náusea, mas achamos que é completamente subestimada. Não nos surpreenderia se a maioria desses compromissos um-para-muitos começasse com um ataque de phishing. Tire um tempo para garantir que a sua equipa entenda porque é que todos estes controlos de segurança são necessários. A chave aqui é garantir que é oportuna, relevante e cativante. Está a ter problemas em torná-lo envolvente? Alcance-se; a nossa equipa tem muitas ideias para ajudar.
Para saber mais sobre a premiada solução WAAP (Web Application and API Protection) do Edgio , entre em contato com um de nossos especialistas em segurança, hoje mesmo.