{"id":988248,"date":"2021-12-14T08:35:00","date_gmt":"2021-12-14T11:35:00","guid":{"rendered":"https:\/\/ogasec.espacomultiplicidade.app.br\/?p=988248"},"modified":"2024-01-21T08:52:03","modified_gmt":"2024-01-21T11:52:03","slug":"o-que-podemos-aprender-com-o-ataque-hacker-contra-o-ministerio-da-saude","status":"publish","type":"post","link":"https:\/\/www.ogasec.com\/index.php\/2021\/12\/14\/o-que-podemos-aprender-com-o-ataque-hacker-contra-o-ministerio-da-saude\/","title":{"rendered":"O que podemos aprender com o ataque Hacker contra o Minist\u00e9rio da Sa\u00fade"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Escrito por: Rodrigo Fragola<\/em>
(Data de corte: 14\/12\/2021, pois o mesmo ainda est\u00e1 sendo investigado)<\/em><\/p>

Nos \u00faltimos dias, observamos um ataque ao Minist\u00e9rio da Sa\u00fade. Inicialmente, parecia ser um caso padr\u00e3o de ransomware ou sequestro de dados, mas logo de in\u00edcio alguma coisa estava estranha: o mesmo n\u00e3o seguia os tr\u00e2mites normais de um ataque ransomware.<\/p>

Primeiro, o grupo LAPSUS$ se apresentou como respons\u00e1vel, sendo um grupo com baixa atividade hacker. A mensagem apresentava um conte\u00fado diferente e informava um grande volume de dados roubados, cerca de 50T, o que n\u00e3o \u00e9 pouco. S\u00f3 para se ter um par\u00e2metro de compara\u00e7\u00e3o, se considerarmos grupos hackers que atuam h\u00e1 meses com v\u00e1rios ataques, a soma dos dados que coletaram n\u00e3o passaria de 20T a 25T.<\/p>

Essa proeza s\u00f3 seria poss\u00edvel em 3 situa\u00e7\u00f5es:<\/p>

a) N\u00e3o havia monitoramento algum e os dados foram retirados da Nuvem de uma s\u00f3 vez, rapidamente, sem ningu\u00e9m ver (o que \u00e9 pouco prov\u00e1vel);<\/p>

b) O ataque durou meses com extra\u00e7\u00f5es pequenas e impercept\u00edveis (o que geralmente acontece, pois os hackers ficam dias e meses na rede coletando informa\u00e7\u00e3o);<\/p>

c) Seria uma informa\u00e7\u00e3o n\u00e3o ver\u00eddica, usada para confundir o cliente (vale lembrar que isso acontece muito, pois muitas v\u00edtimas n\u00e3o t\u00eam nem mesmo condi\u00e7\u00f5es de averiguar estas informa\u00e7\u00f5es).<\/p>

Outro ponto que difere dos ataques padr\u00f5es de ransomware foi o uso de uma credencial v\u00e1lida para alterar a tabela de DNS e redirecionar a mensagem de resgate. Estas altera\u00e7\u00f5es impediram outras sites e servi\u00e7os de funcionar. Neste caso, temos 2 hip\u00f3teses plaus\u00edveis:<\/p>

a) Vazaram propositalmente a mesma;<\/p>

b) Falha de procedimento de manuten\u00e7\u00e3o e guarda de senhas;<\/p>

c) Foram coletadas a partir de um ataque hackers e usadas para danificar o sistema.<\/p>

O vazamento de credenciais, mesmo n\u00e3o sendo de administradores, \u00e9 algo que est\u00e1 em voga hoje em dia, j\u00e1 que os ambientes em Home-Office fazem com que muitos usu\u00e1rios comuns e administradores tenham que acessar sistemas utilizando outros ambientes, transferir senhas para seus colegas por e-mail, Whatsapp ou SMS. Assim, as senhas ficam expostas e armazenadas em locais onde um hacker pode consultar posteriormente. Al\u00e9m disso, ao invadir a m\u00e1quina externa, o atacante passa a ter acesso a rede interna por uma VPN v\u00e1lida.<\/p>

Estes fatos geraram algumas afirma\u00e7\u00f5es que o sistema n\u00e3o foi invadido, j\u00e1 que foram utilizadas credenciais ver\u00eddicas. Realmente essa \u00e9 uma discuss\u00e3o muito mais filos\u00f3fica do que pr\u00e1tica, afinal houve uma interrup\u00e7\u00e3o no sistema, houve um dano.<\/p>

Por exemplo, quando foi divulgado o caso do iFood onde uma credencial v\u00e1lida foi utilizada para alterar o nome de v\u00e1rias empresas com frases pol\u00edticas, o sistema n\u00e3o entendeu que era uma invas\u00e3o e fez a altera\u00e7\u00e3o. Assim, a grande maioria dos sistemas n\u00e3o s\u00e3o projetados para desconfiar dos seus usu\u00e1rios.<\/p>

Algumas li\u00e7\u00f5es que podemos ter at\u00e9 o momento:<\/p>

a) Estar no Cloud n\u00e3o \u00e9 sin\u00f4nimo de seguran\u00e7a;<\/p>

b) A seguran\u00e7a de sistemas simples como o DNS tamb\u00e9m \u00e9 importante, mesmo que ele seja fornecido por terceiros;<\/p>

c) Credenciais devem ser tratadas com maior cuidado e seu uso deve ser restrito \u00e0 sua real fun\u00e7\u00e3o, ao per\u00edodo que devem ser usadas e a partir de qual lugar. Segundo fator de autentica\u00e7\u00e3o \u00e9 muito bem-vindo;<\/p>

d) Seguran\u00e7a n\u00e3o \u00e9 mais opcional, ela agora \u00e9 parte estruturante de qualquer opera\u00e7\u00e3o;<\/p>

e) O trabalho em casa veio para ficar e temos que considerar este risco para a opera\u00e7\u00e3o. Uma VPN n\u00e3o protege contra uma s\u00e9rie de ataques;<\/p>

f) Sistemas devem ser pensados e projetados incluindo dispositivos de seguran\u00e7a espec\u00edficos que nunca ser\u00e3o fornecidos por terceiros (Design for Security).<\/p>

A seguran\u00e7a est\u00e1 nos detalhes dos procedimentos e das implementa\u00e7\u00f5es t\u00e9cnicas. Quando vemos grandes corpora\u00e7\u00f5es e governos, que atuam com grandes fornecedores de servi\u00e7o, nuvem e tecnologia de ponta serem invadidos, pensamos em como ficaria a minha pequena e m\u00e9dia empresa. Mas essa \u00e9 uma conversa para o pr\u00f3ximo artigo! \ud83d\ude42<\/p>

At\u00e9 a \u00faltima ter\u00e7a feira, dia 14\/12, podemos afirmar que:<\/p>

Os sistemas do Minist\u00e9rio da Economia foram restabelecidos, mas os da Sa\u00fade continuam fora do ar;<\/p>

Os especialistas do GSI e a Pol\u00edcia Federal est\u00e3o investigando. Foi aberto inqu\u00e9rito para apurar os ataques hackers;<\/p>

Uma per\u00edcia inicial concluiu que os sistemas n\u00e3o foram “criptografados”, isso significa que os dados est\u00e3o dispon\u00edveis;<\/p>

N\u00e3o h\u00e1 confirma\u00e7\u00e3o ainda se o grupo realmente teve acesso a dados sigilosos;<\/p>

\u00b7 ANPD est\u00e1 monitorando o caso.<\/p>

Vamos aguardar os resultados finais das investiga\u00e7\u00f5es e voltarei aqui com mais aprendizados.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Escrito por: Rodrigo Fragola(Data de corte: 14\/12\/2021, pois o mesmo ainda est\u00e1 sendo investigado) Nos \u00faltimos dias, observamos um ataque ao Minist\u00e9rio da Sa\u00fade. Inicialmente, parecia ser um caso padr\u00e3o de ransomware ou sequestro de dados, mas logo de in\u00edcio alguma coisa estava estranha: o mesmo n\u00e3o seguia os tr\u00e2mites normais de um ataque ransomware. […]<\/p>\n","protected":false},"author":3,"featured_media":988258,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-988248","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sem-categoria"],"_links":{"self":[{"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/posts\/988248","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/comments?post=988248"}],"version-history":[{"count":0,"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/posts\/988248\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/media\/988258"}],"wp:attachment":[{"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/media?parent=988248"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/categories?post=988248"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ogasec.com\/index.php\/wp-json\/wp\/v2\/tags?post=988248"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}