Por que as empresas devem se preocupar com o Nobelium

Sheila Zabeu -

Julho 02, 2021

Uma nova campanha do grupo Nobelium, descoberta pelo Microsoft Threat Intelligence Center (MSTIC), serve como um lembrete aos profissionais de que agentes mal-intencionados, relacionados à Rússia, continuam altamente motivados a procurar novos vetores de ataque à medida que os antigos são fechados.

No fim de junho, a Microsoft revelou que o computador de um funcionário da área de atendimento foi invadido. A invasão acabou resultando em dados de clientes roubados e ataques direcionados, até agora, a três organizações usando técnicas de pulverização de senhas e força bruta contra servidores de login.

A descoberta surgiu das investigações que a Microsoft vem conduzindo sobre o Nobelium, grupo responsável pelos ataques envolvendo clientes da SolarWinds. Segundo a Microsoft, os clientes afetados ou visados foram alertados.

“A investigação está em andamento, mas confirmamos que nossos agentes de suporte estão configurados com o conjunto mínimo de permissões necessárias como parte de nossa abordagem Zero Trust para informações de clientes. Estamos notificando todos os clientes afetados e os ajudando a garantir que suas contas permaneçam seguras”, afirma a Microsoft em uma declaração.

E continua: “Este tipo de atividade não é novo e continuamos a recomendar a todos que tomem precauções de segurança, como habilitar a autenticação multifator para proteger seus ambientes deste e de ataques semelhantes. Reforça a importância das práticas recomendadas de precauções de segurança, como arquitetura de confiança zero e autenticação multifatorial, e sua importância para todos”.

Segundo a Reuters, a Microsoft revelou o ataque publicamente somente depois de ter sido questionada sobre a notificação enviada a clientes afetados.  Uma cópia do aviso da Microsoft a que Reuters teve acesso durante a segunda quinzena de maio afirma que o invasor pertence ao grupo Nobelium e que poderia ver informações de cobrança e sobre quais serviços os clientes estariam pagando, entre outros dados.

A Microsoft não informou à Reuters se o funcionário da área de atendimento era terceirizado ou não. Um porta-voz afirmou que esse incidente não faz parte do ataque anterior bem-sucedido  do Nobelium à Microsoft, por meio do qual invasores tiveram acesso a parte do repositório de códigos-fonte da empresa.

Na opinião da empresa, o ataque foi parte de uma campanha maior do Nobelium amplamente focada em empresas de TI e governos em todo o mundo. Quase metade das tentativas de ataque foram contra organizações baseadas nos Estados Unidos, cerca de 10% no Reino Unido e números menores no Canadá e na Alemanha.

A Microsoft tem falado muito sobre segurança hoje, especialmente em relação ao seu próximo Windows 11, enquanto a empresa tenta argumentar para exigir que os usuários tenham hardware específico para fazer a atualização.

Prevenção

A Cybersecurity and Infrastructure Security Agency (CISA), americana, fornece a seguinte lista de melhores práticas para fortalecer a segurança das organizações.

  • Mantenha assinaturas e mecanismos de antivírus atualizados.
  • Mantenha os patches do sistema operacional atualizados.
  • Desative os serviços de compartilhamento de arquivos e impressoras. Se esses serviços forem necessários, use senhas fortes ou autenticação do Active Directory.
  • Restrinja a capacidade (permissões) dos usuários de instalar e executar aplicativos de software indesejados. Não adicione usuários ao grupo de administradores locais, a menos que seja necessário.
  • Aplique uma política de senha forte e implemente alterações de senha regulares.
  • Tenha cuidado ao abrir anexos de e-mail, mesmo que o anexo seja esperado e o remetente pareça ser conhecido.
  • Habilite um firewall pessoal nas estações de trabalho da agência, configurado para negar solicitações de conexão não solicitadas.
  • Desative serviços desnecessários em estações de trabalho e servidores da agência.
  • Procure e remova anexos de e-mail suspeitos; certifique-se de que o anexo digitalizado é seu “tipo de arquivo verdadeiro” (ou seja, a extensão corresponde ao cabeçalho do arquivo).
  • Monitore os hábitos de navegação dos usuários na web; restringir o acesso a sites com conteúdo desfavorável.
  • Tenha cuidado ao usar mídia removível (por exemplo, pen drives USB, drives externos, CDs, etc.).
  • Faça a varredura de todo o software baixado da Internet antes de executá-lo.
  • Mantenha a consciência situacional das ameaças mais recentes e implemente Listas de Controle de Acesso (ACLs) apropriadas.