Um ataque de island hopping é uma campanha de hacking na qual os actores da ameaça visam os parceiros terceiros mais vulneráveis de uma organização para minar as defesas de segurança cibernética da empresa alvo e obter acesso à sua rede. Um ator de ameaça é uma entidade que é parcial ou completamente responsável por um incidente que afeta -- ou tem o potencial de afetar -- o sistema de segurança de uma organização.
Os atores de ameaça que visam grandes organizações -- mesmo aquelas com defesas de segurança cibernética efetivas -- irão a qualquer custo para entrar. Se a organização alvo tem fortes práticas de segurança cibernética, então os atacantes utilizarão ataques "island hopping" e explorarão os intermediários do negócio para penetrar nos sistemas seguros da organização original.
Ataques "island hopping" têm se tornado cada vez mais populares. Os atores da ameaça estão usando a técnica para comprometer os sistemas de rede entre várias empresas e roubar seus ativos digitais. As indústrias mais afetadas pelos ataques de island hopping incluem finanças, saúde, manufatura e varejo.
Island hopping cyberattacks e acesso de terceiros
O termo island hopping vem da estratégia militar empregada pelos Aliados no teatro do Pacífico contra as potências do Eixo durante a Segunda Guerra Mundial. A estratégia envolvia fazer com que os Aliados tomassem uma ilha e a utilizassem como ponto de lançamento para o ataque e a tomada de outra ilha. A missão foi iniciada em Agosto de 1942 em Guadalcanal, nas Ilhas Salomão.
Em ciber-segurança, os atacantes de lúpulo da ilha têm como alvo clientes e empresas mais pequenas que trabalham com a organização vítima, assumindo que os sistemas de ciberdefesa destas entidades mais pequenas não são tão extensos como o alvo final.
Simplesmente, se uma organização é conhecida por encomendar comida do mesmo website, os actores da ameaça podem encenar um watering hole attack, onde eles têm como alvo esse site -- sabendo que os membros da organização o visitam -- como uma forma de obter acesso à rede da empresa.
Como funcionam?
Ataques de salto de ilha geralmente começam através de phishing, onde os atacantes se disfarçam como uma entidade respeitável em um e-mail ou outro canal de comunicação. Marcas confiáveis -- como o Facebook e o suporte da Apple -- são frequentemente usadas em ataques de phishing como um primeiro passo.
Um outro método comum é conhecido como island hopping baseado em rede, no qual os atacantes se infiltram em uma rede e a usam para saltar para uma rede de afiliados. Por exemplo, os atacantes têm como alvo o provedor de serviços gerenciados de segurança de uma organização (MSSP) para se moverem através de suas conexões de rede.
Em outra técnica conhecida como reverse business email compromise, os atacantes assumem o servidor de e-mail de sua empresa vítima e usam ataques de malware sem arquivos a partir daí. Os ataques de malware sem ficheiros utilizam aplicações que já estão instaladas e que se pensa serem seguras. Como tal, os ataques de malware sem ficheiros não precisam de instalar software ou ficheiros maliciosos para iniciar um ataque. Ataques de compromisso reverso de e-mail empresarial muitas vezes visam o setor financeiro.
Por que os atacantes usam ataques de island hopping?
As motivações primárias para ataques de island hopping incluem atividades criminosas, tais como ransomware ataques e criptojacking. Por exemplo, em 2013, os hackers visaram o parceiro de serviço de aquecimento, ventilação e ar condicionado (HVAC) do gigante varejista Target. O Target sofreu uma quebra de segurança maciça na qual os dados de pagamento de mais de 40 milhões de clientes foram roubados.
Como era o caso do Target, os atacantes se aproveitam de empresas parceiras menores porque normalmente não podem pagar o mesmo nível de segurança cibernética que as organizações maiores. Além disso, como os sistemas menores já são confiáveis pela empresa maior, é menos provável que sejam notados quando comprometidos, facilitando a propagação do ataque para a rede da organização.
Estratégias de defesa de salto de pista
Estratégias de defesa de salto de pista incluem o seguinte:
- Avaliar riscos de terceiros.
- Criar um plano de resposta a incidentes e uma equipe que seja financiada e tenha as ferramentas certas para defender a rede.
- Exigir que os fornecedores usem a mesma pilha de tecnologia preferida MSSP e a mesma pilha de tecnologia da organização.
- Disponibilizar uma resposta a incidentes de terceiros na retenção.
- Utilizar correct segmentação de rede para que os fornecedores não tenham acesso a todos os servidores, apenas ao servidor em que precisam trabalhar.
- Utilizar autenticação multifactor (MFA).
- Focalizar o movimento lateral -- no qual os atacantes se movem através de uma rede, procurando por bens e dados chave -- e roubo de credenciais.
Como os ciberataques de salto na ilha são desenfreados?
De acordo com o relatório da empresa de segurança cibernética VMware Carbon Black's November 2019 Global Incident Response Threat Report, o salto na ilha é responsável por 41% do total de ciberataques - um aumento de 5% desde o primeiro semestre de 2019. O movimento lateral é estável em 67% dos ataques - bem acima das médias de 2018. No mesmo relatório, o Carbon Black descobriu que os atacantes estão vendendo o island hopping para sistemas comprometidos, muitas vezes sem que o alvo perceba que eles estão expostos.
Custom malware foi usado em 41% dos ataques -- acima dos 33% no primeiro trimestre de 2019, de acordo com o relatório. Os ataques estão aumentando rapidamente porque as pessoas que constroem código de ataque personalizado o vendem na web escura. Uma vez usado, o codificador, assim como o comprador, pode atacar a empresa alvo.
Como responder a um ataque cibernético de ilha hopping
As organizações que se tornaram vítimas de ataques de ilha hopping devem responder fazendo o seguinte:
- Lo>Lo>Loquear os logs dos sistemas afetados para ter visibilidade. Identificar que acesso foi obtido. Uma vez que um atacante ganha uma base inicial, esse acesso pode ser usado para eventualmente obter acesso total à empresa através de outros ataques, como a watering hole attack.
- Avalie o escopo do ataque e quais ativos foram tomados.
- Monitorar novas contas ou alterações nos sistemas para ajudar a identificar quando uma conta foi comprometida e para frustrar futuros ataques de ilha hopping. Certifique-se de incluir terceiros de confiança que tenham acesso à rede da empresa ou a serviços em nuvem. Also, include the service provider so it can check its logs and systems.