O ciberataque na B&N questiona as práticas de segmentação de negócios do varejista
Uma aparente infecção de ransomware na Barnes & Noble, que se espalhou dos sistemas corporativos do varejista para suas lojas, gerou especulações sobre se a falta de segmentação de negócios poderia ter ajudado na propagação do malware.
O dia 10 de outubro também impediu que os usuários do leitor digital Nook acessassem conteúdo e serviços, servindo como um lembrete para o mundo corporativo dos danos exclusivos que o ransomware pode causar às empresas especializadas em entrega e distribuição de conteúdo voltado para o consumidor.
Como isso aconteceu?
A Barnes & Noble, sediada em Nova York, reconheceu o incidente em um comunicado público, via Twitter e em uma notificação por e-mail aos clientes, embora não tenha confirmado o vetor de ataque inicial ou explicado como o malware se espalhou de uma parte da empresa para outra. Tecnicamente, ele nem mesmo usou a palavra ransomware, embora relatórios afirmem que a gangue de ransomware Egregor postou trechos de dados roubados da rede violada do varejista, no que parece ser mais um ataque de “extorsão dupla” (significando que os arquivos foram criptografados e dados foram roubados na tentativa de coagir o pagamento de um resgate).
“A Barnes & Noble foi vítima de um ataque à segurança cibernética”, disse o varejista em um comunicado fornecido à SC Media. Enquanto ainda estamos investigando, podemos reconfirmar que, como todos os dados do cliente estão criptografados e tokenizados de ponta a ponta, nenhum cartão de crédito do cliente ou outros dados financeiros foram expostos. ”
Enquanto alguns especialistas aconselharam evitar conjecturas, outros consideraram abertamente a possibilidade de que a falta de segmentação de negócios poderia ter exacerbado o ataque, porque o malware foi capaz de se espalhar pelos sistemas da B&N por conta própria e porque os adversários foram capazes de se mover silenciosamente e lateralmente em torno da organização comprometida por um período de tempo antes de executar o ransomware.
“Certamente, a segmentação de segurança configurada corretamente é projetada para ajudar a evitar que invasores se movam lateralmente em uma rede”, disse Jonathan Reiber, diretor sênior de estratégia e política de segurança cibernética da AttackIQ. “Existem dezenas de exemplos históricos, desde a invasão do SingHealth até a invasão do OPM, em que um ator hostil entrou em um servidor em uma parte da rede e então migrou para a rede, movendo-se lateralmente de servidor para servidor, devido à falta de segmentação. ”
No entanto, “sem ter todos os detalhes forenses, eu não especularia sobre o que aconteceu”, observou ele.
Brett Callow, analista de ameaças da Emsisoft, ofereceu a possibilidade de que os sistemas fossem colocados off-line como medida de precaução, acrescentando que “pelo menos um grupo de ransomware foi observado anteriormente procurando sistemas POS como parte de seu ataque”, enquanto James Carder, chefe oficial de segurança e vice-presidente da LogRhythm, disse que “o incidente levanta a questão de por que dois ambientes muito diferentes e distintos estão conectados um ao outro”, chamando-o de indicação de controles internos fracos
“Além disso, a probabilidade de que um dispositivo de consumidor comprometido se espalhe para o servidor e depois para os sistemas POS é muito baixa”, acrescentou Carder. “Sem mais dados, o comprometimento inicial provavelmente aconteceu na infraestrutura de back-end que dá suporte ao eReader.”
Obtendo a segmentação certa
Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel, também reconheceu que a segmentação “é difícil de acertar. Os sistemas de computador internos geralmente precisam de acesso de e para dezenas de outros sistemas dos quais dependem. O servidor de backup precisa ter acesso à rede segmentada? Os administradores precisam de acesso para manutenção e solução de problemas? Qualquer uma dessas coisas e muito mais pode fornecer caminhos para comprometer redes segmentadas. ”
“Mesmo as melhores práticas, como exigir que os administradores de TI se conectem a redes segmentadas por meio de sistemas de gateway ou ‘jump boxes’ ou por meio de VLANs administrativas privadas, podem falhar rapidamente se um invasor obtiver acesso em nível de administrador por meio de outro segmento de rede”, continuou Clements.
Outro problema comum de segmentação está relacionado ao acesso remoto VPN, acrescentou Clements. “Em muitas organizações, os controles de acesso VPN inadequados fornecem aos usuários normais acesso a toda a rede, mas mesmo que o acesso a redes segmentadas confidenciais tenha sido restrito apenas a administradores, a enxurrada de vulnerabilidades recentes do servidor VPN pode dar aos invasores um caminho direto para roubar senhas de administrador e Acesso.”
Na verdade, também há conjectura de que o ataque da Barnes & Noble pode ter sido executado explorando uma vulnerabilidade nos servidores VPN Secure Connect do Pulse Connect (CVE-2019-11510), depois que Bad Packets relatou que o varejista não corrigiu a falha por meses.
“Primeiro, procuramos uma política de divulgação de vulnerabilidade da B&N e não encontramos nenhuma. Esse é um grande problema ”, disse Chloé Messdaghi, vice-presidente de estratégia da Point3Secuirty. “Isso realmente demonstra o valor dos programas de vulnerabilidade e a importância de gerenciar e abordar sistematicamente os alertas de vulnerabilidade que eles geralmente geram.”
Descontentamento com falta de conteúdo
Seja qual for a causa do ataque, a infecção causou o caos depois que os usuários do NOOK não conseguiram puxar os livros que haviam comprado do varejista.
Desnecessário dizer que os consumidores ficaram agitados em benefício de qualquer invasor que vise estrategicamente os provedores e distribuidores de conteúdo digital, seja livros, videogames ou música.
“Obtenha melhor suporte técnico. Estou cansado de não conseguir ler um dos mais de mil livros no meu tablet Samsung através do aplicativo nook ”, disse um usuário do Twitter em resposta a uma postagem da B&N.
“Os provedores de conteúdo são um alvo óbvio para grupos de ransomware, pois eles são considerados mais propensos a pagar devido à pressão dos clientes para restaurar os sistemas”, disse Callow. “Isso é especialmente verdadeiro, pois quanto mais tempo a paralisação se arrastar, mais provável é que os clientes façam a transição para uma plataforma alternativa, resultando em uma perda permanente de receita.”
“O principal negócio dos provedores de conteúdo digital é permitir que os clientes tenham acesso ao conteúdo na ponta dos dedos”, concordou Chris Kennedy, diretor de segurança da informação e vice-presidente de sucesso do cliente na AttackIQ. “Este é um mercado relativamente saturado, o que significa facilidade de uso e disponibilidade oportuna é o que atrai os consumidores para um provedor contra outro … Os ataques de ransomware executando DoS de conteúdo serão catastróficos, dadas todas as outras opções disponíveis para os consumidores e as formas que o conteúdo pode ser consumido. ”
A Barnes & Noble não é a primeira a enfrentar esse dilema. Durante o recente ataque de ransomware Garmin e interrupção de serviços, os consumidores reclamaram que seus relógios não estavam funcionando, e a indústria da aviação deixou claro que os dados de navegação que contrataram eram essenciais para os negócios. “Quando os dados do cliente são divulgados por invasores, isso se torna um problema de fidelidade do cliente e uma situação de relações públicas”, disse Messdaghi.
Enquanto isso, Clements comparou o incidente a um ataque relatado no início deste ano contra a Canon . “Devido a um ataque cibernético, os usuários perderam o acesso às fotos armazenadas nos sistemas Canon por vários dias e muitos perderam completamente as fotos antigas”, disse ele. “Neste último caso, parece que a interrupção da Barnes & Noble impediu os usuários de acessar eBooks comprados devido a restrições [de gerenciamento de direitos digitais]. Se o acesso ao conteúdo digital requer verificação com o provedor para validar o conteúdo licenciado, qualquer interrupção na conexão com o provedor pode impedir que os usuários acessem o conteúdo que compraram. ”
Uma notificação por e-mail enviada aos clientes observou que o ataque “resultou em acesso não autorizado e ilegal a certos sistemas corporativos da Barnes & Noble” e informações pessoais expostas, incluindo e-mail, contas e endereços de remessa e números de telefone.
Messdaghi deu à Barnes & Noble uma análise mista de sua resposta ao incidente público até agora, observando que “é útil que a B&N nos tenha informado que … as informações de pagamento foram criptografadas e não expostas”, mas “Eu gostaria que eles também tivessem oferecido alguns conselhos valiosos para a maioria dos consumidores provavelmente ainda não sei. ” Por exemplo, Messdaghi disse que a notificação do varejista não aconselhava os clientes a alterar as senhas de suas contas, o que ela achou “um pouco curioso”.