Mais um dia, mais um episódio da saga LockBit. O mais recente desenvolvimento na história interminável de gangues de criminosos cibernéticos contra agências de aplicação da lei é quase digno de sua própria série de TV. Mas o que é que isso significa para si - a pessoa que tem de defender a sua organização e manter a sua capacidade de funcionamento no meio de todo o caos?
Leitura relacionada: Colmatar as lacunas de segurança do AD
O grupo por detrás da cortina
A recente troca de declarações públicas entre a LockBit e a National Crime Agency (NCA) do Reino Unido e os seus parceiros - incluindo o Departamento de Justiça dos EUA e o Federal Bureau of Investigations - parece ser uma espécie de jogo mental. Ainda assim, esta situação em evolução dá-nos mais uma espreitadela por detrás da cortina da atividade cibercriminosa.
Os cibercriminosos funcionam como qualquer outra operação organizada. Têm fornecedores e cadeias de abastecimento, como qualquer empresa normal. E, como em qualquer transação comercial, estas relações dependem de uma certa dose de confiança. É claro que, no mundo do crime, a confiança é uma moeda cara.
Este sentido distorcido de orgulho corporativo reflecte-se na declaração da LockBitSupp, a pessoa alegadamente por detrás da operação LockBit.
Acho interessante a ênfase: "... estou no caminho certo", afirma a LockBitSupp, e "... nenhum hack ... pode impedir um negócio de prosperar". O escritor afirma estar no negócio de "pentest com pós-pago", o que faz com que os empreendimentos criminosos de ransomware da LockBit pareçam quase legítimos.
Este facto sublinha que a cibercriminalidade é uma operação bem organizada. Como tal, precisamos de uma defesa bem organizada para a combater.
Uma batalha sem fim
A luta entre defensores e adversários é uma batalha sem tréguas. Como vimos em casos anteriores, era apenas uma questão de tempo até que o grupo ressurgisse na sua totalidade com um novo nome ou que os seus membros se juntassem a outros grupos de ransomware. Só que poucos especialistas em cibersegurança pensavam que o grupo iria ressurgir tão cedo.
Não há que enganar: O flagelo do ransomware dos últimos cinco anos captou a atenção da CISA, da NCA, da Interpol, do FBI e de outras agências globais de aplicação da lei. A luta diária para interromper as acções ilegais da LockBit, BlackBasta, CLOP, ALPHV e de vários outros grupos continua a sério.
No entanto, a LockBit está a revelar-se uma serpente de duas cabeças. Embora a apreensão global dos seus activos na semana passada tenha sido um grande feito das forças da ordem, não demorou muito para que o grupo retomasse as operações. Com mais de 100 milhões de dólares roubados (segundo a polícia), o grupo tem os meios e a motivação para "voltar à atividade" o mais rapidamente possível. Certamente não iria desaparecer silenciosamente depois de ter sido envergonhado por um contingente de agências globais de aplicação da lei.
Como sempre, lembramos aos nossos clientes que devem manter uma mentalidade de "assumir a violação". A atividade cibercriminosa não pára, nem abranda. Nunca se pode baixar a guarda contra agentes de ameaças. Criar resiliência operacional, incluindo um plano de backup e recuperação que dê prioridade a activos críticos como a infraestrutura de identidade, é vital para proteger os seus funcionários, clientes e parceiros.
Então, o que é que se pode fazer?
A maioria das organizações sabe que não compensa pagar resgates. Mas para poder fazer uma escolha, é necessário um plano que lhe dê outras opções. A criação de resiliência organizacional e operacional no seu ecossistema digital permite-lhe ripostar e elimina a recompensa de que dependem os grupos criminosos de ransomware. Eis o que significa criar resiliência:
- Identifique e avalie imediatamente os seus sistemas críticos. Inclua infra-estruturas como o Active Directory (AD) e outros repositórios de identidade; 9 em cada 10 ciberataques visam o AD.
- Opere com uma mentalidade de "assumir a violação". Se encontrar um sistema comprometido ou uma atividade maliciosa (como a interceção de palavras-passe), presuma que existem outras que ainda não descobriu.
- Monitorizar alterações não autorizadas na sua infraestrutura de identidade (por exemplo, AD, Entra ID, Okta).
- Manter a visibilidade em tempo real de quaisquer alterações a contas e grupos de rede elevados.
- Efectue cópias de segurança contínuas dos seus sistemas de identidade tendo em mente uma abordagem cibernética prioritária, permitindo uma recuperação rápida e sem malware.
- Mantenha uma cópia de qualquer ambiente comprometido para que possa efetuar uma investigação forense completa.
O flagelo do ransomware não precisa de paralisar as organizações. Com um planeamento adequado e uma abordagem organizacional para proteger activos críticos, pode assistir ao desenrolar do drama em vez de ser apanhado nele.