O comprometimento do software de comunicação da 3CX entrou para a história como o primeiro incidente documentado publicamente de um ataque à cadeia de suprimentos levando a outro. Duas organizações de infraestrutura crítica no setor de energia e outras duas no setor financeiro estão entre as vítimas confirmadas. Um ataque à cadeia de suprimentos tenta burlar as defesas de cibersegurança ao infiltrar o sistema da vítima por meio dos mecanismos de atualização de software de um provedor externo confiável.

A campanha que visava a 3CX começou com uma versão trojanizada do software financeiro X_TRADER que já não recebia suporte do fornecedor. Isso subsequentemente levou ao comprometimento da empresa, de seu software e de seus clientes. Dados da telemetria da ESET sugerem que centenas de aplicativos maliciosos que se faziam passar pelo software da 3CX foram usados por clientes.

Uma vez que o software X_TRADER com a Biblioteca de Link Dinâmico (DLL) trojanizada é instalado, ele coleta informações, rouba dados, incluindo credenciais de vários navegadores, e permite que os cibercriminosos emitam comandos em um computador comprometido. Esse acesso sem precedentes também foi usado para comprometer o software da 3CX, utilizando-o para distribuir malware que rouba informações de clientes corporativos da empresa.

Enquanto investigava a campanha relacionada chamada Operação DreamJob, que mirava usuários do Linux, a equipe de pesquisa da ESET encontrou conexões com o grupo Lazarus, que é alinhado à Coreia do Norte.

No entanto, a questão é: como uma empresa pode se defender em casos em que todas as suas camadas de segurança estão ativas? O perigo vem de um provedor ou parceiro confiável?

Como o malware se espalhou?

O X_TRADER é uma ferramenta profissional de negociação financeira desenvolvida pela Trading Technologies. A empresa desativou esse software em abril de 2020, mas ele continuou disponível para download até 2022. Enquanto isso, durante esse período, o site do fornecedor foi comprometido, oferecendo um download malicioso em seu lugar. O grupo Lazarus provavelmente invadiu a Trading Technologies em 2022. Embora a Trading Technologies tenha declarado que seus clientes receberam várias comunicações ao longo de um período de encerramento de 18 meses, informando que a empresa não ofereceria mais suporte ou serviço ao X_Trader após abril de 2020, isso aparentemente não foi ouvido, já que as pessoas continuaram fazendo o download do software, que estava comprometido.

"Não havia motivo para que alguém fizesse o download do software, considerando que a TT parou de hospedar, oferecer suporte e prestar serviços ao X_Trader após o início de 2020", diz a declaração. A empresa também divulgou que menos de 100 pessoas fizeram o download do pacote comprometido do X_Trader entre 1º de novembro de 2021 e 26 de julho de 2022 - um número pequeno, mas que teve um efeito cumulativo.

Um dos indivíduos que fez o download do X_Trader era um funcionário da 3CX, que instalou o software comprometido em seu computador pessoal. O software continha malware detectado pela ESET como Win32/NukeSped.MO (também conhecido como VEILEDSIGNAL).

"Após a comprometimento inicial do computador pessoal do funcionário através do malware VEILEDSIGNAL, a Mandiant avalia que o cibercriminoso roubou as credenciais corporativas da 3CX do sistema dele. O VEILEDSIGNAL é um malware totalmente equipado que forneceu ao cibercriminoso acesso de nível de administrador e persistência ao sistema comprometido", escreveu Agathocles Prodromou, Chefe de Rede da 3CX, no blog da empresa.

Várias lições podem ser aprendidas com essa história. Por exemplo:

1. Use software verificado e atualizado de uma fonte legítima

Todo o comprometimento teve início com um funcionário fazendo o download de um aplicativo de software que não era já não recebia suporte desde abril de 2020. Isso deve servir como um lembrete de por que é crucial usar software verificado e atualizado, já que qualquer software que não receba suporte pode ser facilmente explorado.

Ao baixar um software, compare o hash dele com o do fornecido. Fornecedores frequentemente publicam hashes ao lado dos links de download, ou você pode contatá-los diretamente e pedir esses hashes. Se os hashes não coincidirem, provavelmente você esteja baixando um software alterado.

Da mesma forma, certifique-se de estar baixando software de um site legítimo, pois golpistas podem criar um site falso se passando pelo original.

Se você não tem certeza sobre a legitimidade de um hash de arquivo ou de um site, considere verificar no VirusTotal. Este site é uma ferramenta gratuita semelhante a um mecanismo de busca que analisa itens com mais de 70 scanners de antivírus e serviços de bloqueio de URL/domínio, além de uma variedade de ferramentas para extrair sinais do conteúdo analisado. Ele pode analisar arquivos, domínios, endereços IP e URLs para determinar se uma solução antivírus específica detectou um arquivo enviado como malicioso. Ele também executa amostras em várias áreas restritas.

2. Torne seus funcionários menos vulneráveis

Após o software malicioso ser instalado no computador pessoal do funcionário da 3CX, o ataque progrediu. Consequentemente, os cibercriminosos conseguiram roubar as credenciais do funcionário e penetrar em todo o sistema corporativo da 3CX.

A melhor prática para evitar tais situações é usar criptografia de dados e autenticação de múltiplos fatores para afastar o acesso ilegítimo aos sistemas empresariais, criando várias camadas de defesa para tornar muito mais difícil para criminosos ganhar acesso.

Da mesma forma, os direitos de acesso devem ser gerenciados com mais rigor. Não é necessário que todos os funcionários tenham os mesmos direitos de acesso a todos os ambientes da empresa. Certamente, administradores e engenheiros de software precisam de acesso mais amplo, mas suas permissões de acesso também podem variar.

Dados sensíveis também devem ser mantidos fora dos dispositivos dos funcionários e compartilhados apenas por meio de um sistema de nuvem segura, melhor protegido por segurança adicional em nuvem e em servidores.

3. Siga uma política de senhas robusta

Ter uma política de senhas forte pode ajudar bastante na prevenção de ataques, mas pressionar constantemente seus funcionários com mudanças frequentes de senha e extensos requisitos de complexidade de senha é desnecessário. A tendência atual é substituir senhas padrão por frases de acesso, uma alternativa mais segura e difícil de adivinhar do que senhas.

No passado, uma senha considerada forte tinha pelo menos oito caracteres, incluindo letras maiúsculas e minúsculas, pelo menos um número e um caractere especial. Esse método causava um problema, pois lembrar dezenas de senhas complexas diferentes para todos os sites e dispositivos usados era complicado, então as pessoas tendiam a reutilizar a mesma senha em lugares diferentes, tornando-as mais vulneráveis a ataques de força bruta e preenchimento de credenciais.

Portanto, os especialistas não exigem mais uma sequência de caracteres aleatórios, mas sim aconselham o uso de frases de acesso fáceis de lembrar. Essas frases de acesso ainda devem conter números e caracteres especiais, incluindo emojis, para evitar que máquinas as adivinhem facilmente. As chaves de acesso também são uma alternativa que vale a pena mencionar, pois utilizam criptografia para uma proteção mais elevada.

4. Considere o gerenciamento de acesso privilegiado

O gerenciamento de acesso privilegiado (PAM) impede que cibercriminosos alcancem contas corporativas com muitos privilégios de administração, como as de gerentes, auditores e administradores, com acesso a dados sensíveis.

Para defender essas contas valiosas de serem comprometidas, é necessário adicionar algumas camadas extras de proteção: acesso somente no momento necessário aos recursos críticos, monitoramento de logins privilegiados e políticas de senha mais rigorosas, para citar algumas.

Fornecedores e parceiros apresentam um caminho para o seu sistema por meio de um ataque à cadeia de suprimentos. Portanto, estabelecer requisitos rigorosos de segurança para eles é uma boa ideia. Você também pode realizar detecções de vazamento de dados de terceiros ou uma avaliação de segurança para encontrar quaisquer vazamentos de dados e vulnerabilidades antes que cibercriminosos tenham a oportunidade de explorá-los.

5. Aplique as últimas correções

Como parte do ataque à cadeia de suprimentos da 3CX, os cibercriminosos exploraram uma vulnerabilidade em uma função de verificação de assinatura no Windows que a Microsoft corrigiu em 2013.

No entanto, esse caso é específico porque a correção é opcional, provavelmente devido à preocupação de que aplicar a correção significa que o Windows não verifica mais as assinaturas de arquivos não conformes. Isso dá margem para os cibercriminosos atuarem, pois, para trojanizar o aplicativo da 3CX, os invasores inseriram código malicioso em duas DLLs utilizadas por ele de tal maneira que sistemas Windows vulneráveis ainda verificariam as assinaturas.

Corrigir vulnerabilidades pelos fornecedores é fundamental para prevenir ameaças, portanto, sempre que possível, obtenha as últimas correções de segurança e atualizações de aplicativos e sistemas operacionais assim que estiverem disponíveis.

6. Estabeleça padrões rigorosos de segurança

Comece com um software antimalware adequado. As principais soluções de cibersegurança oferecem proteção em várias camadas que podem reconhecer ameaças conhecidas antes de seu download ou execução.

Nos casos em que o malware já infectou um dispositivo, sua proteção deve detectar e responder ao malware que possa tentar apagar arquivos ou criptografá-los, como wipers ou ransomware.

Não se esqueça de verificar se você tem a versão mais recente de sua proteção de endpoint.

O próximo passo é reduzir sua superfície de ataque. Como o ataque à 3CX demonstra, vulnerabilidades não são apenas um problema de software - erros humanos simples também podem levar a consequências devastadoras.

As empresas também devem preparar planos de resposta a incidentes de segurança. Esses planos geralmente incluem preparação, detecção, resposta, recuperação e análise pós-incidente. Da mesma forma, não se esqueça de fazer backups contínuos de seus arquivos para garantir a continuidade dos negócios em caso de interrupção.

Lição aprendida: (Ciber)segurança é tanto sobre humanos quanto sobre software

A conclusão é clara: o ataque à 3CX demonstrou o quão traiçoeiros podem ser os ataques à cadeia de suprimentos, mas o ponto mais importante que ele destacou é que tudo o que é preciso é um único ato de erro humano, e todo o cenário desaba.

Esperançosamente, após ler este blog, você entenderá melhor como se preparar contra ameaças que vêm de fornecedores de software e parceiros, e embora erros humanos sejam inevitáveis, uma postura sólida de cibersegurança pode pelo menos aliviar a maioria dos receios cibernéticos.