Cibercriminosos aproveitam-se de relações da cadeia de valor para distribuir malware

Nos últimos anos, a cadeia de valor tornou-se um dos principais alvos dos cibercriminosos. Segundo a Check Point Software, em 2021, as organizações sofreram, por semana, 50% mais ciberataques que no ano anterior. Em Portugal, o aumento foi de 81%.  

Em 2020, um grupo de ciberatacantes acedeu ao ambiente da SolarWinds, incorporando um backdoor na atualização do seu produto de monitorização de redes, Orion. Os clientes, que executaram a atualização maliciosa, foram vítimas de roubo de informação e outros incidentes de segurança. O grupo de cibercriminosos REvil, por sua vez, aproveitou-se da Kaseya, uma empresa de software que oferece programas para fornecedores de serviços geridos (MSP), para infetar mais de 1000 clientes com ransomware. Os ciberatacantes chegaram a exigir um resgate de 70 milhões de dólares para facultar a chave de desencriptação para todos os afetados.

Outro exemplo sucedeu em novembro do mesmo ano, quando a Check Point Research identificou uma série de vulnerabilidades que, combinadas, permitiriam controlar uma conta e várias apps de Atlassian conectadas mediante SSO. Codecov é uma organização de provas de software cujo script Bash uploader (utilizado para enviar relatórios de cobertura de código da empresa) sofreu uma modificação do atacante. Esta exploração da cadeia de abastecimento permitiu os ciberatacantes redirecionar a informação sensível, como código fonte e detalhes privados, dos clientes da CodeCov para os seus próprios servidores.

Segundo a empresa, um ataque à cadeia de valor aproveita-se das relações de confiança entre organizações distintas. Este tipo de ameaça pretende visar precisamente o elo mais fraco da cadeia de confiança. Se uma organização conta com soluções de cibersegurança sólidas, mas o seu fornecedor não, os ciberatacantes vão apontar para o segundo alvo, uma vez que é a porta de entrada para o primeiro.

Normalmente, os ataques à cadeia de abastecimento começam em fornecedores MSP, explica a Check Point. Estes dispõem de um amplo acesso às redes dos seus clientes, o que, claro, tem um grande valor para os ciberatacantes. Depois de explorar estes fornecedores, o atacante pode facilmente expandir-se para as redes dos seus clientes. Explorando as suas vulnerabilidades, os ataques têm um impacto maior e os atacantes acedem aos recursos de forma muito mais fácil do que se a tentativa fosse feita diretamente. 

Assim, estes tipos de ofensivas proporcionam a um atacante um novo método para fragilizar a proteção da empresa, permitindo realizar qualquer outro tipo de ataque, como filtração de dados, uma ameaça utilizada comummente para realização violações de dados. Por exemplo, o ataque à SolarWinds expôs os dados sensíveis de múltiplas organizações do setor público e privado.
Da mesma forma, os cibercriminosos aproveitam as vulnerabilidades da cadeia de fornecimento para distribuir malware nas empresas-alvo. O ataque à SolarWinds incluiu a entrega de backdoors maliciosos, e o ataque à Kaseya deu lugar a um ataque de ransomware. 

“O famoso ataque do SolarWinds deu início a um frenesim de numerosos e sofisticados ataques à cadeia de abastecimento. Em abril, tivemos o Codecov, em julho de 2021, o Kaseya e, em dezembro, a exposição da vulnerabilidade do Log4j. O impacto alcançado por esta vulnerabilidade única numa biblioteca de código aberto demonstra o imenso risco inerente às cadeias de abastecimento de software”, afirma Rui Duro, Country Manager da Check Point Software Technologies para Portugal. Completa: “todas as empresas, sem exceção, devem proteger os seus sistemas e software para evitar qualquer tipo de ataque à cadeia de abastecimento, uma vez que as consequências para este tipo de ataques podem ser incalculáveis”.