A Mimecast é a mais recente a ser adicionada à lista de corporações afetadas pelos hacks da SolarWinds, agora sendo apelidada de Solarigate.
Factos
Durante a investigação da Microsoft sobre o hack da SolarWinds, eles identificaram e informaram outra vítima. Mimecast é um sistema de gerenciamento de email baseado em nuvem que incorpora segurança, arquivamento e outros serviços na plataforma Office 365. Dos 36,000 clientes da Mimecast, estima-se que 10% sejam afetados pelo hack. De acordo com o Mimecast, apenas um punhado desses clientes – supostamente um número de um único dígito – foram visados. A natureza desses alvos ainda não foi divulgada, mas implica que os agentes russos por trás do Solarigate podem estar escolhendo vítimas específicas de alto valor. Em 12 de janeiro, o Mimecast lançou esta recomendação aos afetados:
“Como precaução, estamos pedindo ao subconjunto de clientes Mimecast que usam essa conexão baseada em certificado para excluir imediatamente a conexão existente em seu locatário M365 e restabelecer uma nova conexão baseada em certificado usando o novo certificado que disponibilizamos. A execução dessa ação não afeta o fluxo de emails de entrada ou saída ou a verificação de segurança associada.
A segurança dos nossos clientes é sempre a nossa prioridade. Contratamos um especialista forense terceirizado para auxiliar em nossa investigação e trabalharemos em estreita colaboração com a Microsoft e as autoridades, conforme apropriado.”
Relacionado: Comportamento de segurança cibernética do estado da nação
Em ataques anteriores associados ao Solarigate, o software de gerenciamento de rede Orion foi aproveitado como um cavalo de tróia ao enviar código malicioso com atualizações e patches legítimos. No entanto, o Mimecast não usa mais os serviços SolarWinds, o que levanta uma nova questão. Os hackers do Solarigate obtiveram acesso por causa dos negócios anteriores da Mimecast com a SolarWinds ou por meio de um método completamente não relacionado? Independentemente disso, as ferramentas e estratégias exclusivas do hack deixam os especialistas cibernéticos certos de que o hack foi realizado pelo mesmo grupo.
Especificamente, Relatórios da revista CPO, “Anteriormente, os hackers SolarWinds foram encontrados capazes de comprometer o certificado de assinatura Security Assertion Markup Language (SAML) para gerar tokens de autenticação para a plataforma de nuvem da Microsoft.
A gangue de crimes cibernéticos usou as credenciais obtidas para se autenticar no Microsoft Active Directory Domain Services para escalar privilégios no controlador de domínio e se espalhar lateralmente por toda a rede corporativa.”
Entidades governamentais e do setor privado atingidas pelos hackers SolarWinds também foram violadas usando táticas semelhantes.
O Departamento de Segurança Interna alertou recentemente que os hackers estavam usando outras estratégias além do cavalo de tróia Orion para invadir redes, incluindo adivinhação de senha e credenciais administrativas não seguras. Por exemplo, outra violação ocorreu por meio de um fornecedor terceirizado que revende o software baseado em nuvem da Microsoft. A partir daí, os hackers tentaram obter acesso aos e-mails da CrowdStrike Inc.. O fornecedor de segurança cibernética diz que o ataque não teve sucesso. A Microsoft adverte que os fornecedores de terceiros continuam a ser um alvo para os hackers do Solarigate.
Relacionado: A lista de verificação final da avaliação de risco do fornecedor
Lições Aprendidas
À medida que a lista de vítimas continua a crescer naquele que é o maior ataque cibernético dos Estados Unidos, é cada vez mais importante que as corporações e o governo tomem medidas adicionais de segurança. As melhores práticas básicas não são mais suficientes. O treinamento e os testes contínuos do usuário, juntamente com a implantação de tecnologia de segurança cibernética de ponta, ajudam a vedar os vazamentos entre as medidas padrão de segurança cibernética e as oportunidades de hackers.
Até que um número suficiente de organizações preste atenção e implemente essas soluções, os hackers continuarão a se fortalecer e os hacks como o SolarWinds se tornarão cada vez mais uma ocorrência comum.
Leia mais: Incidente da Semana
Fonte: https://www.cshub.com/attacks/articles/iotw-another-solarigate-target-identified-by-microsoft
