O que a violação global da CDK pode ensinar aos ISVs do Windows

Em 18 de junho de 2024, a CDK Global, um fornecedor de SaaS que fornece a cerca de 15.000 concessionárias de automóveis norte-americanas software de vendas, serviços, financiamento e seguros, sofreu um ataque cibernético maciço executado pela gangue de ransomware BlackSuit que criptografou arquivos e sistemas essenciais. A BlackSuit exigiu um resgate da CDK Global em troca dos dados criptografados dos clientes.

Em¹⁹ de junho, a CDK Global desligou seus sistemas de TI e iniciou esforços para se recuperar do ataque. Durante esses esforços, a BlackSuit atacou a CDK Global com um segundo ataque.

A paralisação da CDK prejudicou os clientes das concessionárias de automóveis, que não puderam fazer agendamentos de vendas e serviços, verificar a entrada e saída de clientes de serviços e vender e financiar carros usando os sistemas da CDK. As concessionárias foram forçadas a mudar para sistemas baseados em papel por quase duas semanas para poderem realizar qualquer negócio.

Em²¹ de junho, a CDK Global pagou aproximadamente US$ 25 milhões em Bitcoin à BlackSuit para recuperar o controle dos arquivos e sistemas criptografados, mas foi preciso esperar até⁴ de julho para que todas as concessionárias voltassem a funcionar.

Além do pagamento do resgate de US$ 25 milhões, a CDK Global enfrenta pelo menos oito processos judiciais de clientes de concessionárias de automóveis que reclamam danos causados pelo ataque.

Talvez nunca saibamos exatamente como a BlackSuit conseguiu penetrar nos sistemas da CDK Global, mas muitas empresas de segurança cibernética descreveram em publicações de blog o cenário de ataque mais provável.

Cenário provável de ataque da BlackSuit

De acordo com especialistas em segurança cibernética, os invasores geralmente exploram a vulnerabilidade do sistema de TI corporativo em uma abordagem em fases.

1. Enganar os funcionários usando phishing ou engenharia social para que instalem malware em seus computadores ou revelem credenciais de usuário para que os atacantes possam obter uma base inicial no sistema da empresa-alvo.
2. Uma vez no sistema, os invasores estendem sua base para se deslocar lateralmente pelo sistema usando técnicas como despejo de credenciais (roubo de credenciais de usuário de um sistema operacional ou software) e exploração de permissões fracas (por exemplo, quando um usuário com poucos privilégios tem permissão para alterar as configurações de serviço) para acessar sistemas/servidores adicionais e obter dados confidenciais ou sistemas críticos pelos quais vale a pena pagar um resgate.
3. Outras técnicas de movimento lateral incluem a exploração de vulnerabilidades do sistema, como software não corrigido e infraestrutura vulnerável, para obter acesso a dados valiosos.

A BlackSuit coordenou seus esforços para explorar as vulnerabilidades da CDK, auxiliada por uma sofisticada compreensão técnica dos tipos de sistemas que encontrariam durante o ataque e das oportunidades de ataque muito comuns criadas quando uma empresa não está focada na segurança cibernética. A experiência e o conhecimento dos atacantes da BlackSuit permitiram que eles reconhecessem e explorassem instantaneamente as oportunidades escondidas à vista de todos nos sistemas e na infraestrutura da CDK.

{{CTAEMBED_IDENTIFIER}}

O que os ISVs do Windows podem aprender com a violação global da CDK?

Além de ter sido um desastre financeiro para a CDK Global, a violação causou interrupções nacionais no setor de vendas e serviços de automóveis e é um conto de advertência para qualquer empresa de software que forneça aplicativos aos clientes usando um modelo de SaaS. Embora as seguintes proteções de segurança cibernética sejam práticas recomendadas padrão, elas devem ser repetidas.

Treinamento de funcionários: a primeira etapa da maioria dos ataques de ransomware é enviar e-mails de phishing aos funcionários para induzi-los a revelar suas credenciais. Realize treinamentos periódicos para ensinar os funcionários sobre os riscos de phishing a fim de reduzir a chance de um invasor conseguir um ponto de apoio inicial em seus sistemas devido a um erro do funcionário.

Tenha um plano: desenvolva um plano de resposta a incidentes e revise-o anualmente. Realize "simulações de incêndio" várias vezes ao ano para preparar a equipe e a gerência para o caso de um incidente. E não se esqueça de incluir um plano de comunicação com o cliente para que você possa gerenciar as expectativas dos clientes durante e após um ataque.

Controle o acesso dos funcionários: mantenha controles rígidos sobre o acesso dos usuários autorizados aos sistemas internos. Limite o acesso de todos os funcionários ao mínimo absoluto necessário para realizar seu trabalho. Para os funcionários que precisam acessar os sistemas internos, certifique-se de que eles usem senhas fortes e autenticação multifatorial. Além disso, audite regularmente as contas de usuários e feche as contas antigas que não são mais usadas - quanto mais antiga a conta, maiores as chances de ela ter uma senha fácil de adivinhar e não estar protegida por autenticação multifatorial.

Protocolos de segurança aprimorados: atualize e corrija regularmente os sistemas de software para eliminar vulnerabilidades conhecidas e evitar explorações. 

Backup regular de dados: faça backups regulares dos dados e sistemas essenciais e armazene-os com segurança em local externo para que você possa se recuperar em caso de ataque. Seu plano de resposta a incidentes deve incluir o processo de recuperação rápida de backups para evitar deixar seus clientes "mortos na água" por muito tempo.

Restrinja o uso do Microsoft Remote Desktop Protocol (RDP): De acordo com a Sophos, uma empresa de segurança cibernética do Reino Unido, em 77% dos 2023 ataques que eles rastrearam, o Microsoft® Remote Desktop Protocol (RDP) foi usado para aproveitar credenciais comprometidas para acesso interno ou movimento lateral dentro do sistema. A Sophos acredita que o RDP continua sendo "uma das ferramentas mais amplamente abusadas" porque vem pré-instalado na maioria dos sistemas operacionais Windows® e, antes do Windows 11, não era configurado com proteção contra força bruta.

Para reduzir o risco, a Sophos aconselha as organizações que usam o RDP (o que inclui os ISVs do Windows que usam o Microsoft RDS para fornecer aplicativos aos clientes) a limitar severamente seu uso. Como? Primeiro, certifique-se de que os clientes que usam o Windows 11 não tenham desativado a política de bloqueio de contas; segundo, certifique-se de que os clientes que usam o Windows 10 e 8.1 ativem a política de bloqueio de contas em suas máquinas. Ou você pode exigir que seus clientes desativem o RDP entre as sessões de área de trabalho remota.

Ou... parar de usar o RDP e o RDS.

Se você estiver usando o RDS e o RDP para fornecer seu aplicativo Windows aos clientes e quiser eliminar os altos riscos associados ao uso do RDP sem precisar ditar as configurações do Windows nas máquinas Windows dos clientes, pare de usar o RDS e o RDP.

Parar de usar o RDS e o RDP? Como?

Há uma solução para fornecer aplicativos Windows a clientes localizados em qualquer lugar que elimina a necessidade de usar RDS e RDP.

A GO-Global® oferece substitutos completos para a funcionalidade de várias sessões da Microsoft, os Serviços de Área de Trabalho Remota e o Protocolo de Área de Trabalho Remota. O GO-Global substitui o RDP pelo RapidX Protocol (RXP), um protocolo proprietário de baixa largura de banda. Como o RXP é de código fechado, ele oferece defesa adicional contra invasores, em comparação com o protocolo de código aberto do RDP.

Para maior segurança, o GO-Global inclui 2FA, que torna inúteis as buscas de senhas por força bruta e dicionário. E o GO-Global + SSO oferece suporte ao OpenID Connect, que permite que as organizações usem provedores de identidade modernos para habilitar o logon único nos hosts Windows da GO-Global.

Para solicitar uma demonstração do GO-Global, clique aqui; para obter uma avaliação gratuita de 30 dias do GO-Global, clique aqui.