Os hackers que executam o ataque Island Hopping visam os parceiros terceirizados mais vulneráveis de uma organização para atingir a empresa-alvo e obter acesso à sua rede. Isso significa que se uma empresa parceira possui estrutura de defesa vulnerável ou até mesmo aquelas com a segurança cibernética eficaz, o atacante fará de tudo para entrar.
O ataque Island Hopping está cada vez mais popular e os autores estão usando técnicas que comprometem os sistemas de redes entre várias empresas e roubar seus ativos digitais. As indústrias mais afetadas por esse ataque incluem finanças, saúde, manufatura e varejo.
Qual a origem do ciberataque Island Hopping?
O termo vem da estratégia militar adotada pelos aliados no teatro do pacífico contra as potências do eixo durante a Segunda Guerra Mundial. A estratégia era fazer com que os aliados tomassem uma ilha e usassem como ponto de partida para o ataque e conquista de outra ilha. Esta missão foi iniciada em agosto de 1942 em Guadalcanal nas Ilhas Salomão.
Fazendo o paralelo com a tecnologia, os invasores visam empresas menores que trabalham com a organização da empresa-alvo.
Como o ataque funciona?
Geralmente começam por meio de phishing, onde se disfarçam de um organização séria através de um email ou outro meio de comunicação. Outro meio bastante utilizado para ataque é baseado em rede, eles utilizam da rede (provedor de serviços de segurança gerenciados MSSP) de um prestador de serviço para invadir e percorrer as conexões da rede.
Utilizam também a técnica conhecida como comprometimento reverso de email comercial, assumem o servidor de email da organização e soltam ataques de malware sem arquivo. Fazendo com que sua proteção de endpoint não enxergue como algo malicioso. Esse tipo de ataque tem como alvo o setor financeiro.
Como se defender do Island Hopping? Se paramos algumas dicas para sua organização:
Avalie os riscos envolvendo a contratação de terceiros
Crie um plano de resposta a incidentes e treine o time com as ferramentas corretas para defender a rede
Exija que seus fornecedores usem o mesmo MSSP e pilha de tecnologia preferidos da sua empresa
Conte com uma empresa terceirizada para amparar sua organização em caso de resposta a incidentes
Segmente sua rede para que os terceiros contratados não tenham acesso a todos os servidores e apenas ao que precisam trabalhar.
Utilize autenticação de multifator (MFA)
O quanto o Island Hopping representa no quesito ciberataques?
Segundo o relatório global de ameaças de resposta a incidentes feito em novembro de 2019, pela empresa VMWare Carbon Black, este ataque representa 41% do total de ataques cibernéticos. Ainda no mesmo relatório a Carbon Black descobriu que invasores estão vendendo este ataque aa sistemas comprometidos, sem que o alvo perceba a exposição. O ataque tem aumentado rapidamente pois as pessoas criam códigos personalizados e vendem na dark web.
Fui atacado pelo Island Hopping, o que faço?
Se você infelizmente acabou invadido, responda da seguinte forma:
-
Observe os logs afetados
Identifique qual acesso foi obtido pois através de uma posição inicial o invasor pode obter o acesso total a empresa por meios de outros ataques como por exemplo, o watering hole.
-
Avalie o ataque
Veja quais ativos foram levados
-
Monitore novas contas ou alterações no sistema
Isso pode te ajudar a identificar quando uma conta foi comprometida e impedir ataques Island Hopping. Conte com terceiros confiáveis e tenha acesso a rede corporativa ou a serviços em nuvem. Inclua o provedor de serviços para que ele possa verificar seus logs e sistemas.
A VMWare possui o Carbon Black, uma solução de endpoint de última geração NGAV que também fornece a tecnologia EDR. Esta solução permite identificar invasores que não seriam identificados em uma solução tradicional de endpoint. Lembram do comprometimento reverso de email comercial onde os invasores soltam malware sem arquivo? Na versão tradicional o endpoint não interpretaria como uma ameaça visto que não há arquivo e o remetente é conhecido, já com o Carbon Black o comportamento seria avaliado e barrado.
Converse nosso time e veja como proteger ainda mais sua organização!