TPCRM
December 10, 2024

Uma retrospectiva dos ataques a terceiros e incidentes em fornecedores de 2024

Com o fim do ano se aproximando, pensamos em recordar alguns dos incidentes mais notórios que envolveram terceiros em 2024. Para isso, tivemos de dar uma nova olhada em todos incidentes que comentamos em nossa newsletter, aproveitando para somar os números de dados expostos que foram citados na imprensa para ter uma ideia geral do cenário de hoje.

O resultado? Registros de 1,36 bilhão de pessoas foram possivelmente expostos ao longo do ano em ciberataques envolvendo terceiros ou fornecedores. É claro que, sendo este número baseado no que foi apurado pela imprensa, há algumas considerações e limitações.

Mas, antes disso, vamos revisitar alguns dos incidentes mais relevantes do ano.

Incidentes relevantes em terceiros e fornecedores de 2024

Change Healthcare

Subsidiária da UnitedHealth, a Change Healthcare sofreu um ataque de ransomware em fevereiro de 2024. Devido ao espaço que a Change Healthcare ocupa no ecossistema de saúde dos Estados Unidos, o incidente provocou interrupções generalizadas no fluxo de pagamentos e ao acesso a dados em todas as outras entidades que dependiam da infraestrutura deles.

Muitos órgãos de imprensa produziram reportagens sobre os transtornos das pequenas clínicas devido aos atrasos nos pagamentos.

Foi só em outubro que a companhia confirmou que 100 milhões de pessoas tiveram seus dados acessados pelos invasores. O resgate de US$22 milhões foi pago – provavelmente para tentar resguardar os dados dos usuários –, mas o desfecho disso foi um tanto inusitado. O grupo de ransomware dos atacantes, conhecidos como ALPHV/BlackCat, implodiu por conta de um conflito interno, e o paradeiro dos dados ficou incerto.

Em novembro, a UnitedHealth anunciou que sua central de pagamentos tinha enfim sido completamente restaurada, nove meses após o incidente.

Noticiado em nossa newsletter de março

Evolve Bank

Em junho, o grupo de ransomware LockBit apareceu em algumas manchetes após declarar que tinha obtido dados do Federal Reserve norte-americano. Isso não era verdade, porém, já que os dados pertenciam ao Evolve Bank & Trust, um parceiro relevante de muitas fintechs.

O banco confirmou que 7.640.112 pessoas tiveram seus dados vazados – e muitas delas só tinham dados no banco por serem clientes dessas fintechs.

Noticiado em nossa newsletter de julho

Os incidentes do Snowflake

AT&T, Santander, Ticketmaster e outras empresas foram atingidas por uma série de ciberataques em dados armazenados na Snowflake, uma provedora de armazenamento em nuvem. Pelo que se sabe, os ataques começaram em abril a partir de credenciais vazadas.

Embora as violações não tenham atingido a infraestrutura da Snowflake, o anúncio de um recurso que permitia exigir o uso de MFA nas contas de acesso deixou claro que isso não era uma possibilidade na época dos ataques (e isso pode ter contribuído).

Esses incidentes mostram que algumas deficiências dos serviços terceirizados, ainda que elas não possam ser enquadradas na definição de "vulnerabilidades", às vezes se tornam uma fragilidade em comum que os atacantes podem explorar contra vários clientes.

Noticiado e comentado em nossa newsletter de julho

Cencora e MediSecure

Tanto a Cencora como a MediSecure atuam no setor de saúde e mereceriam um lugar nesta lista. Em maio, a Cencora revelou que estava notificando pessoas sobre uma violação ocorrida em fevereiro.

O The HIPAA Journal noticiou que dados de ao menos 27 empresas tinham sido vazados neste incidente. Em agosto, a Cencora teve de apresentar um documento à SEC, órgão regulador do mercado de ativos mobiliários dos EUA, para confirmar que o volume de dados roubados era maior do que o apontado pelas estimativas anteriores. Não há números oficiais, mas algumas estimativas apontam que um milhão de pessoas já teriam sido notificadas sobre o vazamento.

A MediSecure, por sua vez, é um fornecedor australiano de receitas eletrônicas. Aqui, o número de vítimas é bem maior, chegando a 12,9 milhões. Contudo, as reportagens sobre o incidente em geral não falaram muito sobre danos a outras empresas ou como elas foram afetadas. Segundo o governo australiano, os serviços de receitas eletrônicas continuaram funcionando normalmente.

Qualquer um destes dois incidentes pode ser notável de um ponto de vista de risco de terceiros ou até de risco sistêmico, então é difícil escolher um só. Ambos foram abordados na mesma edição da nossa newsletter.

Noticiados em nossa newsletter de junho

Microsoft / Midnight Blizzard

Em janeiro, a Microsoft revelou que foi hackeada pelo Midnight Blizzard, um grupo que seria financiado pelo governo russo. Os invasores usaram um ataque de password spray para obter acesso em uma conta de um test tenant (inquilino para testes) que, devido a um lapso da Microsoft, pôde ser usada para conceder permissão a caixas de e-mail do 365 por meio de OAuth.

Como era de se imaginar, a conta comprometida não tinha MFA.

Em março, a Microsoft disse que havia evidências de que os atacantes estavam tentando usar a informação obtida da primeira invasão para acessar outros sistemas. A empresa também descobriu que os atacantes estavam em posse de e-mails trocados entre funcionários das Microsoft e clientes, que estavam sendo notificados do vazamento.

Embora a campanha do Midnight Blizzard contra a Microsoft tenha começado no fim de 2023, ela fez parte do noticiário só no início de 2024. Ao fim de 2023, a única invasão da Microsoft de que se tinha notícia era aquela em que hackers chineses acessaram caixas de e-mail do governo dos EUA, o que motivou uma investigação do Cyber Safety Review Board.

Noticiado na newsletter de fevereiroo relatório do CSRB foi noticiado em maio

CrowdStrike

Em 19 de julho, uma sexta-feira, a empresa de cibersegurança CrowdStrike distribuiu uma atualização defeituosa para o sensor Falcon. A atualização travava o sensor e, por ele funcionar em nível de kernel, levou junto 8,5 milhões de sistemas Windows.

Os sistemas ficavam em um loop de reinicializações até que atualização fosse excluída manualmente. Como o Falcon estava instalado como um serviço crítico, o Windows não conseguia desativá-lo, mesmo quando ele falhava já na inicialização. Sem a possibilidade de iniciar o sistema, também não era viável baixar uma atualização corretiva. 

O caso se tornou possivelmente o incidente mais conhecido do ano depois que milhares de voos sofreram atrasos e cancelamentos nos aeroportos, já que as companhias aéreas estavam entre as mais afetadas. Na data de redação deste artigo, a Delta Airlines e a CrowdStrike estão processando uma à outra, e a Microsoft está tentando mudar a forma como os softwares de segurança se integram ao Windows.

Na imprensa, esse caso foi chamado de "apagão cibernético". 

Noticiado em nossa newsletter de agosto

Invasão aos sistemas de grampo legal dos EUA

O Wall Street Journal divulgou em outubro que um grupo de hackers chineses conhecido como "Salt Typhoon" se infiltrou em ao menos três operadoras de telecomunicações para acessar sistemas voltados ao cumprimento de ordens judiciais de interceptação – ou "grampos", como são mais conhecidos.

Segundo o jornal, os alvos das invasões foram a Verizon, AT&T e a Lumen Technologies.

Apesar de um certo silêncio por parte das empresas, o incidente foi confirmado oficialmente um mês depois por uma nota conjunta do FBI e da CISA. Diz a nota: "hackers afiliados à República Popular da China comprometeram redes em várias operadoras de telecomunicações para viabilizar o roubo de registros de chamadas de clientes [e] a violação das comunicações de um número limitado de indivíduos majoritariamente envolvidos em atividades políticas ou governamentais".

A nota não confirma quem foram os alvos da invasão, mas veículos de imprensa norte-americanos apontam que 150 vítimas estão sendo notificadas pelo FBI como sendo os alvos finais dos hackers. Ou seja, o ataque às operadoras foi apenas um meio de chegar a quem de fato interessava, o que configura um emblemático caso de violações por meio de terceiros.

Noticiado em nossa newsletter de novembro

Menções 'honrosas'

Cada um desses três incidentes é notável por uma razão diferente, mas também são bastante distintos um do outro e dos demais casos já comentados.

Backdoor no XZ — O backdoor no XZ foi uma tentativa longa, impressionante e bem-sucedida de colocar um backdoor no OpenSSH por meio do projeto XZ utils em algumas distribuições Linux. Felizmente, backdoor foi descoberto (graças a um servidor que fazia mais barulho do que o esperado) enquanto o pacote ainda só estava presente em distribuições "bleeding edge", menos focadas em estabilidade, que têm poucos usuários. Noticiado em abril

Pagers e walkie-talkies explosivos — Graças ao comprometimento físico de uma cadeia de fornecedores, agentes de inteligências conseguiram vender pagers e walkie-talkies sabotados a membros do Hezbollah. Noticiado em outubro

Polyfill — Após trocar de dono, uma CDN do arquivo polyfill.js repentinamente começou a entregar uma versão modificada do script, redirecionando visitantes de mais de 100.000 sites a páginas maliciosas. Grandes provedores da internet como Cloudflare e Google agiram para redirecionar o script ou bloquear anúncios nas páginas afetadas para advertir os administradores dos sites sobre a necessidade de mudar a CDN ou hospedar o arquivo em seus próprios sites. A CDN negou qualquer conduta indevida. Noticiado em julho

Uma visão geral do ano 

Depois que somamos os números informados na mídia relativos a violações que envolveram um fornecedor ou um provedor crítico, descobrimos que 1,36 bilhão de indivíduos foram possivelmente afetados por incidentes de terceiros (incluindo fornecedores) em 2024.

Porém, é preciso fazer algumas considerações sobre este número:

  • Não é possível saber quantos desses registros são únicos. É praticamente certo que os mesmos dados vazaram mais de uma vez. Alguns dos registros também são mais sensíveis que outros, mas todos são contados com o mesmo peso.
  • Tentamos contar apenas registros vinculados a pessoas. Por exemplo, só a National Public Data vazou 2,9 bilhões de registros, mas estes tinham dados de 170 milhões de indivíduos. Usamos o número menor, já que o mais alto seria superior a toda a nossa soma.
  • Alguns dos números vêm de posts feitos por criminosos em sites de vazamentos ou fóruns onde eles oferecem os dados à venda, havendo uma chance de que eles não sejam sempre corretos.

Infelizmente, a maioria dos relatórios sobre dados roubados terá de lidar com limitações semelhantes. Na área de cibersegurança, não há um padrão amplo que permita rastrear certos tipos de dados ou para saber quantos indivíduos únicos foram afetados pelas violações.

Isto dito, o site TechCrunch também fez uma somatória dos incidentes do ano e chegou a um número parecido. Provavelmente não estamos muito longe. As maiores violações foram as da Ticketmaster (estimada em 560 milhões), Synnovis (300 milhões, conforme a imprensa), National Public Data (170 milhões), AT&T (110 milhões), Change Healthcare (100 milhões) e Viamedis/Almerys (33 milhões).

O que mais vem por aí?

Algumas empresas ainda estão revelando vazamentos ligados ao MOVEit Transfer, de maio de 2023. Da mesma forma, o ataque a Financial Business and Consumer Solutions (FBCS) foi inicialmente divulgado com 2 milhões de vítimas, mas a contagem mais recente já chegou a 4,2 milhões. A investigação de incidentes em terceiros leva tempo. 

Mesmo que o horizonte de 2024 só fique claro em algum momento no futuro, temos que tomar decisões com os melhores dados que podemos reunir hoje.

Está claro que fornecedores, provedores de infraestrutura crítica e grandes organizações que estão profundamente conectadas em seus setores oferecem riscos que devem ser mitigados pelas empresas e, potencialmente, por reguladores. Nós, que trabalhamos para proteger as empresas de paralisações e de incidentes de cibersegurança, temos muito a ganhar se compreendermos o que está em jogo e planejarmos um programa de gestão de risco de terceiros que esteja à altura do desafio.

Share
Latest Posts
Colocando em prática a colaboração em cibersegurança para terceiros
Read more
Como a gestão de risco de terceiros enriquece sua abordagem em relação a riscos sistêmicos
Read more
Desafios e recomendações na gestão de risco de terceiros no setor bancário e financeiro
Read more