Report Gartner

Gartner® Market Guide 2023 para plataformas de IT Service Management 

Acesse seu
Portal do cliente agora!

Conecte-se com o
Suporte ao cliente agora!

Blog

Consulte o blog da EasyVista para se manter atualizado sobre as últimas notícias, tendências e melhores práticas em matéria de transformação digital. Deixe que a EasyVista o mantenha atualizado e na vanguarda de uma indústria em constante mudança.

Centro de Recursos

Temos o compromisso de fornecer recursos que o ajudem a atender a todas as suas necessidades de software ITSM.

Webinars e Eventos

Mantenha-se atualizado sobre nossos mais recentes webinars e eventos ITSM, ITOM ou ESM agora

As últimas novidades da EV

Mantenha-se atualizado sobre as últimas notícias e eventos da EasyVista.

EasyVista | 06 Junho 2024

Proteção Contra Ameaças Cibernéticas Modernas: Como é que o EV Reach Pode Atenuar os Riscos Colocados pelos Ataques de Engenharia Social

Num cenário de cibersegurança em constante evolução, os agentes de ameaças adaptam continuamente os seus métodos para explorar vulnerabilidades e atingir vítimas desprevenidas. Um desenvolvimento recente envolve um grupo de cibercriminosos identificado como Storm-1811 pela equipa de Informação sobre Ameaças da Microsoft. Este grupo com motivações financeiras tem sido observado a abusar da ferramenta Microsoft Quick Assist em ataques de engenharia social, representando riscos significativos para organizações de vários setores (The Hacker News, 2024).

A Ameaça: Exploração do Quick Assist pelo Storm-1811

O Storm-1811, conhecido por ter implementado o ransomware Black Basta, utiliza o Quick Assist—uma aplicação legítima da Microsoft concebida para facilitar o suporte técnico remoto—como vetor para os seus ataques. Estes ataques começam com phishing de voz, em que os atacantes se fazem passar por contactos de confiança, como o suporte técnico da Microsoft ou profissionais internos de IT. Através desta personificação, enganam as vítimas para que instalem ferramentas de monitorização e gestão remota (RMM), que servem de condutas para a implementação de cargas úteis mais perigosas, como o QakBot, o Cobalt Strike e, por fim, o ransomware Black Basta.

Uma vez obtido o acesso inicial através do Quick Assist, o Storm-1811 executa comandos cURL com script para descarregar ficheiros batch maliciosos ou ficheiros ZIP. Estes ficheiros permitem outras atividades maliciosas, incluindo a enumeração de domínios, o movimento lateral dentro da rede e a implementação de ransomware através de ferramentas como o PsExec.

Este método de ataque é particularmente insidioso porque explora a confiança em ferramentas legítimas e a falta de sensibilização dos utilizadores. O Quick Assist é uma aplicação incorporada nos dispositivos Windows, muitas vezes vista como um meio seguro de receber apoio técnico. No entanto, esta mesma confiança é o que a torna uma ferramenta poderosa nas mãos dos cibercriminosos. Ao convencer os utilizadores a permitir o acesso remoto, os infratores podem contornar muitas medidas de segurança, uma vez que a vítima lhes abre a porta.

Para compreender plenamente a gravidade destes ataques, é essencial aprofundar o funcionamento detalhado do Storm-1811 e as implicações mais vastas das suas tácticas.

Não Ignore: O que acontece se não prestar atenção ao TCO

A cadeia de ataque do Storm-1811 envolve várias fases, cada uma meticulosamente concebida para garantir o êxito da implantação do ransomware:

  1. Contacto Inicial e Falsificação de Identidade: Os atacantes iniciam o contacto com a vítima através de phishing de voz. Fazem-se passar por figuras de confiança, como o suporte técnico da Microsoft ou profissionais de IT da organização da vítima. Esta tática de engenharia social é eficaz porque explora a confiança da vítima e a sua falta de conhecimentos técnicos.

  2. Instalação das Ferramentas RMM: A personificação é seguida pela orientação da vítima para instalar ferramentas de monitorização e gestão remota (RMM). Estas ferramentas são legítimas e amplamente utilizadas no apoio informático, mas podem ser manipuladas para fins maliciosos. Os atacantes utilizam estas ferramentas para ganhar uma posição no sistema da vítima.

  3. Entrega de Cargas Maliciosas: Com as ferramentas de RMM instaladas, os atacantes fornecem uma série de cargas úteis. Isto envolve o descarregamento e a execução de scripts que instalam o QakBot, um famoso trojan bancário, e o Cobalt Strike, uma ferramenta de testes de penetração reutilizada para atividades maliciosas. Estas ferramentas fornecem aos atacantes acesso persistente e a capacidade de efetuar várias operações maliciosas no sistema comprometido.

  4. Implementação de Ransomware: A fase final envolve a implantação do ransomware Black Basta. Utilizando ferramentas como o PsExec, os atacantes espalham o ransomware pela rede da vítima, encriptando ficheiros e exigindo um resgate pela sua desencriptação.

Este ataque em várias fases realça a natureza sofisticada das ciberameaças modernas. Sublinha a importância de uma estratégia de segurança abrangente que vá para além das defesas tradicionais e aborde as causas profundas das vulnerabilidades.

A Solução: Defesa Proativa com o EV Reach

Face a estas ameaças sofisticadas, as organizações devem adotar medidas proativas para proteger a sua infraestrutura de IT. O EV Reach oferece uma solução abrangente que aborda as vulnerabilidades exploradas por agentes de ameaças como o Storm-1811. Veja como o EV Reach pode reforçar as suas defesas de cibersegurança:

  1. Controlo de Acesso Remoto: O EV Reach fornece funcionalidades de controlo remoto seguras e compatíveis, permitindo às equipas de suporte de IT gerir computadores desktop, servidores, switches e firewalls sem expor os sistemas à vista do público. Isto minimiza o risco associado a ferramentas de acesso remoto como o Quick Assist.
    O controlo do acesso remoto é um componente essencial do suporte informático moderno. Permite que os técnicos solucionem e resolvam problemas rapidamente, independentemente da localização do utilizador. No entanto, a conveniência do acesso remoto também introduz riscos de segurança significativos. O acesso não autorizado pode levar a violações de dados, comprometimento do sistema e outras atividades maliciosas. O EV Reach atenua estes riscos através da implementação de medidas de segurança robustas, incluindo autenticação multifator (MFA), encriptação e registo de atividades. Estas funcionalidades asseguram que apenas o pessoal autorizado pode aceder a sistemas sensíveis e que todas as ações são monitorizadas para efeitos de responsabilização e auditoria.

  2. Monitorização em Tempo Real e Automatização de Processos: O EV Reach permite a monitorização, a elaboração de relatórios e a automatização de processos, garantindo que as potenciais ameaças são detetadas e mitigadas antes de poderem causar danos. As tarefas automatizadas podem lidar com processos de IT de rotina, reduzindo a possibilidade de erro humano e melhorando os tempos de resposta a ameaças emergentes.
    A monitorização em tempo real é essencial para manter a segurança e a integridade dos sistemas de IT. Permite às organizações detetar anomalias, tais como padrões de início de sessão invulgares ou alterações inesperadas nas configurações do sistema, que podem indicar uma violação da segurança. As capacidades de monitorização do EV Reach fornecem às equipas de IT informações acionáveis, permitindo-lhes responder prontamente a potenciais ameaças. Além disso, a automatização de processos simplifica as tarefas de rotina, como as atualizações de software e a gestão de patches, garantindo que os sistemas permaneçam seguros sem exigir uma intervenção manual constante.

  3. Gestão Segura de Terminais: Com o EV Reach, as organizações podem implementar uma gestão de terminais sem supervisão, permitindo um suporte nos bastidores sem interromper os utilizadores. Isto inclui motores de consulta em tempo real e em segundo plano de bases de dados de ativação pós-falha para garantir a prestação contínua de serviços.
    A gestão de terminais é crucial para manter a segurança e o desempenho da infraestrutura de IT de uma organização. As capacidades de gestão autónoma permitem que as equipas de IT realizem as tarefas de manutenção e segurança necessárias sem perturbar a experiência do utilizador. Isto é particularmente importante em grandes organizações com forças de trabalho distribuídas, onde o tempo de inatividade pode ter um impacto significativo na produtividade. As funcionalidades de gestão de terminais do EV Reach incluem a implementação de software, a gestão de patches e a monitorização do desempenho, que contribuem para um ambiente de IT seguro e eficiente.

  4. Melhoria da Conformidade e da Auditoria: O EV Reach inclui funcionalidades para auditar as ações dos técnicos e a avaliação da conformidade, proporcionando transparência e responsabilidade nas operações de IT. Isto é crucial para detetar e responder rapidamente a acessos não autorizados ou atividades suspeitas.
    A conformidade com os regulamentos e normas da indústria é uma prioridade máxima para muitas organizações, especialmente as que se encontram em setores altamente regulamentados, como o financeiro e o da saúde. As capacidades de auditoria do EV Reach ajudam as organizações a cumprir estes requisitos, fornecendo registos detalhados de todas as atividades de IT. Isto inclui o acompanhamento de ações de técnicos, alterações de sistemas e eventos de acesso. Estes registos podem ser utilizados para demonstrar a conformidade durante as auditorias e para investigar potenciais incidentes de segurança. Ao manter um registo de auditoria abrangente, as organizações podem melhorar a sua postura de segurança e reduzir o risco de coimas regulamentares.

  5. Suporte IT Abrangente: Desde a reposição de palavras-passe e desbloqueio de contas até à implementação de software e monitorização do desempenho, o EV Reach oferece um conjunto de ferramentas para apoiar eficazmente a infraestrutura de IT. Esta abordagem holística garante a cobertura de todos os aspetos da gestão de IT, reduzindo a probabilidade de lacunas de segurança.
    Um suporte de IT eficaz é essencial para manter a produtividade e a satisfação dos utilizadores finais. O EV Reach fornece uma vasta gama de ferramentas de suporte que permitem às equipas de IT resolver problemas comuns de forma rápida e eficiente. Isto inclui reposições automáticas de palavras-passe, desbloqueio de contas e instalações de software. Ao automatizar estas tarefas de rotina, o EV Reach reduz a carga de trabalho do pessoal de IT, permitindo-lhes concentrarem-se em questões mais complexas. Além disso, as ferramentas de monitorização do desempenho ajudam a identificar potenciais problemas antes destes afetarem os utilizadores, assegurando uma experiência de IT sem problemas e sem interrupções.

  6. Soluções Escaláveis e Económicas: O preço escalável do EV Reach e os requisitos mínimos de infraestrutura tornam-no uma solução acessível para organizações de todas as dimensões. A sua capacidade de integração com os sistemas existentes aumenta ainda mais o seu valor, proporcionando uma segurança robusta sem grandes despesas gerais.
    A escalabilidade é uma consideração fundamental para as organizações que procuram investir em soluções de IT. O modelo de preços flexível do EV Reach permite às organizações escalar a sua utilização com base nas suas necessidades, assegurando que pagam apenas as funcionalidades que utilizam. Este fato torna o EV Reach uma opção acessível para as pequenas e médias empresas (PME), bem como para as grandes empresas. Os requisitos mínimos de infraestrutura significam que as organizações podem implementar o EV Reach de forma rápida e fácil, sem a necessidade de investimentos significativos em hardware. Esta facilidade de implementação, combinada com características de segurança robustas, torna o EV Reach uma opção atrativa para as organizações que procuram melhorar as suas capacidades de suporte de IT.

O Contexto Mais Alargado: Compreender o Ransomware e os Ataques de Engenharia Social

Para apreciar plenamente o valor do EV Reach, é importante compreender o contexto mais alargado dos ataques de ransomware e de engenharia social. O ransomware é um tipo de malware que encripta os ficheiros da vítima e exige o pagamento de um resgate para restaurar o acesso. Tornou-se uma das formas mais prevalentes e prejudiciais de cibercrime, afetando organizações de todas as dimensões e setores.

Os ataques de engenharia social, como os utilizados pelo Storm-1811, são concebidos para manipular os indivíduos para que divulguem informações confidenciais ou realizem ações que comprometam a segurança. Estes ataques exploram a psicologia humana, recorrendo a táticas como a falsificação de identidade, o engano e a urgência para induzir as vítimas a agir contra os seus interesses.

A combinação de ransomware e engenharia social cria um potencial cenário de ameaças. Os atacantes podem contornar as defesas técnicas visando o elemento humano, obtendo acesso aos sistemas através de meios aparentemente legítimos. Isto sublinha a importância de estratégias abrangentes de cibersegurança que abordem tanto os fatores tecnológicos como os humanos.

O Impacto dos Ataques de Ransomware

Os ataques de ransomware podem ter consequências devastadoras para as organizações. Os custos financeiros incluem pagamentos de resgate, despesas de recuperação e perda de receitas devido ao tempo de inatividade. No entanto, o impacto vai para além das perdas financeiras:

  1. Perturbação Operacional: O ransomware pode paralisar as operações comerciais, interrompendo os serviços e causando um tempo de inatividade significativo. Isto pode ser particularmente prejudicial para setores de infraestruturas críticas, como os cuidados de saúde, os transportes e os serviços públicos.

  2. Perda e Corrupção de Dados: Mesmo que o resgate seja pago, não há garantia de que os atacantes forneçam a chave de desencriptação ou que os dados possam ser recuperados. As organizações podem sofrer perda ou corrupção permanente de dados, afetando a sua capacidade de operar e servir os clientes.

  3. Danos à Reputação: Os ataques de ransomware podem prejudicar a reputação de uma organização, minando a confiança dos clientes. A publicidade negativa associada a uma violação de dados ou a um tempo de inatividade prolongado pode ter efeitos a longo prazo na fidelidade à marca e nas relações com os clientes.

  4. Sanções Regulamentares: A não proteção de dados sensíveis pode resultar em sanções regulamentares e responsabilidades legais. As organizações podem enfrentar multas e penalizações de organismos reguladores, especialmente se não cumprirem as leis de proteção de dados e privacidade.

O Papel da Formação e Sensibilização dos Empregados

Embora as soluções tecnológicas como o EV Reach sejam essenciais para a defesa contra as ciberameaças, a formação e a sensibilização dos funcionários são igualmente importantes. As organizações devem educar o seu pessoal sobre os perigos dos ataques de engenharia social e a importância das melhores práticas de cibersegurança. Isto inclui:

  1. Reconhecer Tentativas de Phishing: Os empregados devem receber formação para reconhecer e-mails de phishing e chamadas telefónicas suspeitas. Isto inclui ter cuidado com pedidos não solicitados de informações sensíveis e verificar a identidade de quem telefona ou do remetente.

  2. Proteção do Acesso Remoto: Os empregados devem compreender os riscos associados às ferramentas de acesso remoto e seguir as melhores práticas para proteger as ligações remotas. Isto inclui a utilização de palavras-passe fortes e únicas, a ativação da autenticação multifator e a cautela na concessão de acesso remoto.

  3. Denúncia de Atividades Suspeitas: As organizações devem estabelecer protocolos claros para a comunicação de atividades suspeitas. Os funcionários devem sentir-se capacitados para comunicar potenciais incidentes de segurança sem receio de represálias. A comunicação imediata pode ajudar as equipas de IT a responder rapidamente para mitigar as ameaças.

  4. Formação Periódica e Simulações: A formação contínua e os exercícios de simulação de phishing podem ajudar a reforçar a sensibilização para a cibersegurança. Ao testar regularmente a capacidade dos funcionários para reconhecer e responder a ameaças, as organizações podem identificar áreas de melhoria e reforçar a sua postura geral de segurança.

Conclusão

Os recentes ataques do Storm-1811 sublinham a importância de medidas robustas de cibersegurança. Ao explorar ferramentas legítimas como o Quick Assist, os cibercriminosos podem contornar as proteções tradicionais e causar estragos nos sistemas de IT. No entanto, com soluções como o EV Reach, as organizações podem antecipar-se a estas ameaças através de uma monitorização proativa, acesso remoto seguro e gestão abrangente dos terminais. Investir em tais tecnologias não só atenua os riscos atuais, como também prepara as organizações para os futuros desafios no cenário de ameaças cibernéticas em constante evolução.

Ao adotar o EV Reach, as organizações podem melhorar a sua postura de cibersegurança, garantindo que estão bem equipadas para prevenir, detetar e responder a ameaças, salvaguardando assim as suas operações e mantendo a continuidade do negócio. A integração do controlo avançado de acesso remoto, a monitorização em tempo real, a automatização de processos e o suporte de IT abrangente fazem do EV Reach um ativo valioso na luta contra a cibercriminalidade.

Em conclusão, a chave para uma cibersegurança eficaz reside numa combinação de soluções tecnológicas avançadas e na formação e sensibilização contínuas dos empregados. Ao abordar os elementos técnicos e humanos da segurança, as organizações podem construir uma defesa robusta contra as táticas sofisticadas utilizadas pelos cibercriminosos atuais. À medida que o cenário de ameaças vai evoluindo, as medidas de segurança proativas e abrangentes serão essenciais para proteger os dados sensíveis, manter a integridade operacional e garantir o sucesso a longo prazo da organização.

Referência: The Hacker News, 2024

EasyVista

EasyVista is a global software provider of intelligent solutions for enterprise service management, remote support, and self-healing technologies. Leveraging the power of ITSM, Self-Help, AI, background systems management, and IT process automation, EasyVista makes it easy for companies to embrace a customer-focused, proactive, and predictive approach to their service and support delivery. Today, EasyVista helps over 3,000+ enterprises around the world to accelerate digital transformation, empowering leaders to improve employee productivity, reduce operating costs, and increase employee and customer satisfaction across financial services, healthcare, education, manufacturing, and other industries.