Violação Uber 2022: Detectar o Ataque Cibernético Destrutivo que Causa a Tomada Completa do Sistema da Organização
Índice:
Em 15 de setembro, a Uber confirmou oficialmente um ataque que resultou em uma violação de segurança cibernética em toda a organização. De acordo com a investigação de segurança, o sistema da organização foi severamente invadido, com os atacantes movendo-se lateralmente para ganhar acesso à infraestrutura crítica da empresa. O incidente de segurança cibernética veio à tona depois que um jovem hacker, que afirmou ter violado os sistemas da Uber, compartilhou relatórios de vulnerabilidade e capturas de tela dos ativos críticos da organização, incluindo um painel de e-mail e o servidor Slack. Esta informação sensível foi divulgada publicamente na plataforma de recompensa de bugs HackerOne.
Os relatórios de vulnerabilidade da HackerOne confirmam que o adversário violou a rede interna do sistema, impactando o console da Amazon Web Services, as máquinas virtuais VMware vSphere/ESXi, e o painel de administração do Google Workspace.
Detectar Atividade Maliciosa Relacionada à Violação da Uber 2022
Regras Sigma desenvolvidas por desenvolvedores da SOC Prime ajudam os profissionais de segurança a garantir que seus sistemas possam suportar ataques envolvendo falhas relacionadas a MFA.
Okta Possível Flooding/Spamming/Phishing de MFA/2FA (via user_auth)
Azure Possível Flooding/Spamming/Phishing de MFA/2FA (via azuread)
Os conteúdos de detecção acima estão alinhados com o MITRE ATT&CK® framework. Os profissionais de segurança podem facilmente alternar entre múltiplos formatos de SIEM, EDR e XDR para obter o código fonte da regra aplicável a 26 soluções de segurança.
A plataforma Detection as Code da SOC Prime seleciona um conjunto de regras Sigma para identificar o comportamento malicioso relacionado a esta última violação da Uber. Clique no Explore Detecções botão abaixo para acessar instantaneamente detecções dedicadas e mergulhar no contexto relevante de ameaças cibernéticas sem registro diretamente do Mecanismo de Busca de Ameaças Cibernéticas.
Análise da Violação da Uber 2022
Com base em reportagens sobre a violação dos sistemas da Uber, o atacante manipulou um dos empregados da empresa para compartilhar sua senha, o que permitiu o acesso inicial ao alvo. O hacker criminoso então prosseguiu com o lançamento de ataques de fadiga de MFA e comprometeu a conta do Slack de um trabalhador para enviar uma mensagem anunciando aos outros funcionários que a empresa havia sofrido uma violação de dados. Em resposta, a Uber restringiu o acesso ao Slack para comunicação interna. Entre outros serviços comprometidos estão Google Cloud Platform, OneLogin, portal de resposta a incidentes SentinelOne e AWS.
Vários pesquisadores de segurança já afirmaram que a violação foi uma “comprometimento total de segurança” que também pode resultar na postagem do código-fonte da empresa online, apesar dos representantes do gigante da tecnologia tentando “apagar o incêndio” que começou em canais de mídia. A posição da empresa de transporte com sede em São Francisco sobre a questão é diferente da narrativa expressa por analistas de segurança não-Uber, principalmente alegando que não há evidências que sugiram que o ator da ameaça acessou dados sensíveis.
Antes do incidente, logs coletados de infostealers foram colocados à venda no mercado subterrâneo. Os infostealers que foram usados nesses ataques contra empregados da Uber foram Raccoon and Vidar. As evidências sugerem que o atacante usou os dados adquiridos para mover-se lateralmente dentro da rede da Uber.
Os motivos do ator da ameaça ainda estão por ser revelados, mas sua mensagem compartilhada em um canal no Slack da Uber inclui uma demanda por melhor pagamento para os motoristas. Os representantes da Uber não divulgaram mais atualizações publicamente, alegando que o incidente está atualmente sob investigação.
As técnicas de engenharia social estão em ascensão. Este ataque apenas espelha a tendência recente de criminosos hackers acumularem abordagens mais sofisticadas para explorar o fator humano em seus ataques. Tempos drásticos exigem medidas drásticas! Junte-se à SOC Prime para reforçar suas capacidades de detecção de ameaças e postura de segurança com o poder de uma comunidade global de especialistas em segurança cibernética. Você também pode enriquecer a expertise colaborativa contribuindo para a iniciativa de crowdsourcing da SOC Prime. Desenvolva e envie suas regras Sigma e YARA, publique-as em uma plataforma e receba recompensas recorrentes por sua contribuição.
