WannaCry mira IoT
A ampla variedade de dispositivos conectados à Internet das Coisas oferece um rico alvo para fornecedores de ransomware.
Os ataques de ransomware estão aumentando. A SonicWall relatou um aumento de 109% em ransomware nos EUA durante o primeiro semestre de 2020. Devido aos custos de execução relativamente baixos, altas taxas de retorno e risco mínimo de descoberta em comparação com outras formas de malware, o ransomware tornou-se rapidamente um método preferido de ataque para cibercriminosos.
Embora os sistemas de computador continuem a ser a fonte mais comum de infecção de ransomware, os dispositivos da Internet das Coisas (IoT) também são os principais alvos por vários motivos, incluindo o fato de que os hackers sabem que as empresas geralmente têm menos visibilidade desses dispositivos e podem, portanto, infligir efeitos devastadores sem detecção . Além disso, os dispositivos IoT geralmente não são desenvolvidos com a segurança em mente, o que os deixa vulneráveis a explorações. Os ataques baseados em IoT também podem se espalhar pela rede muito rapidamente para maximizar os danos, e o ransomware pode tornar as funções físicas desse dispositivo inacessíveis até que o resgate seja pago.
Infelizmente, há muitas acusações quando se trata de quem é responsável por reforçar a segurança da IoT. Freqüentemente, cabe às organizações individuais se protegerem de ataques baseados em IoT.
De todos os tipos de ransomware , um dos mais prejudiciais e infames é o WannaCry. Estima-se que afetou mais de 200.000 computadores em 150 países, com danos totais que variam de centenas de milhões a bilhões de dólares. O WannaCry, assim como outras formas de malware e ransomware, potencializam um exploit conhecido chamado EternalBlue. Ele explora uma vulnerabilidade no protocolo do Windows Server Message Block versão 1 (SMB v1), que permite que o malware se espalhe para todos os sistemas Windows não corrigidos de XP a 2016 em qualquer rede que tenha esse protocolo habilitado.
Embora WannaCry tenha sido detectado pela primeira vez em maio de 2017, de acordo com os Detetives de Segurança, ele ainda representa quase metade de todos os incidentes de ransomware relatados nos EUA hoje. Todo malware baseado em EternalBlue (incluindo WannaCry) explora a mesma vulnerabilidade do Windows. Como esses ataques ainda estão aumentando três anos depois, é evidente que ainda existem muitos sistemas Windows sem patch por aí.
E, novamente, embora o WannaCry tenha como alvo principal os computadores, os dispositivos IoT não eram – e não estão – imunes.
Como um hospital impediu um ataque do WannaCry
Em 2019, um sistema hospitalar europeu descobriu que seus dispositivos de ultrassom estavam infectados com o WannaCry. Vários dispositivos de imagem digital e comunicações em medicina (DICOM) também foram afetados porque estavam executando versões antigas de sistemas operacionais MS Windows. Esses dispositivos não podiam ser corrigidos sem quebrar a garantia do fabricante do dispositivo e, devido ao custo desses dispositivos, não podiam ser substituídos facilmente.
Felizmente, o hospital agiu rápido e foi capaz de impedir esse ataque. Especificamente, eles:
- Confirmou a existência da infecção nas máquinas de imagem.
O hospital selecionou um dos dispositivos DICOM suspeitos, um ultrassom na maternidade do hospital. Este foi um caso particularmente perigoso porque algumas das imagens e relatórios poderiam ser roubados e mantidos como resgate, ou pior, o dispositivo poderia ser tomado de controle e inutilizado. Eles realizaram uma captura de tráfego no dispositivo de ultrassom e encontraram um número significativo de fluxos do ultrassom para a rede, usando SMB sobre TCP (porta 445). Como essa era a porta preferida e o exploit conhecido para EternalBlue / WannaCry, ele confirmou que a máquina estava infectada. - Perfis de segurança aplicados e isolados dos dispositivos afetados.
Como o dispositivo de ultrassom não pôde ser corrigido ou atualizado, eles não conseguiram eliminar a infecção. No entanto, o hospital foi capaz de contê-lo e continuar usando dispositivos médicos infectados sem se preocupar em infectar a rede mais ampla ou perder as imagens e arquivos de ultrassom. Para isso, o hospital utilizou uma solução de segurança que poderia segmentar e isolar determinados dispositivos da rede, de forma que a infecção pudesse ser contida dentro do aparelho de ultrassom, evitando a propagação pela rede. A equipe de TI então aplicou políticas ao dispositivo de ultrassom para garantir que nenhuma porta UDP / TCP fosse aberta, exceto aquelas explicitamente permitidas pela equipe de imagem e gerentes de TI.
- Dispositivos não supervisionados monitorados e permaneceu vigilante.
A ação não parou quando o hospital isolou os dispositivos impactados conhecidos. Hospitais e outras organizações que tiveram seus sistemas de computador afetados por várias rodadas de surtos do WannaCry precisam confirmar se todos os dispositivos médicos (especialmente aqueles que executam versões antigas dos sistemas operacionais MS Windows) também não foram infectados. O hospital europeu verificou que outros dispositivos não foram afetados e continuou a monitorar de perto qualquer atividade suspeita.
Todos os especialistas em segurança cibernética do Road Ahead concordam que os ataques de ransomware só vão se acelerar e podem representar uma ameaça maior aos dispositivos IoT em 2020 e além. Além de proteger seus sistemas de computador e dados da empresa contra a ameaça de um ataque de ransomware, é fundamental revisar e atualizar suas práticas de segurança IoT atuais, especialmente para endpoints de missão crítica, como dispositivos médicos e sistemas de controle industrial.
O ransomware não vai a lugar nenhum, mas podemos ter certeza de que estamos preparados para a próxima vez que ele atacar.
Fonte: https://www.darkreading.com/risk/wannacry-has-iot-in-its-crosshairs/a/d-id/1338894