Combatendo ameaças com a UEBA: Ataques cibernéticos no setor de ensino

Nesta série de quatro partes, exploramos ataques cibernéticos hipotéticos inspirados em eventos da vida real em quatro setores diferentes: saúde, financeiro, manufatura e ensino. Vamos dar uma olhada nos cenários de ataques de segurança imprevistos e descobriremos como a análise de comportamento de usuários e entidades (UEBA) pode ser utilizada para proteger organizações. Nesta quarta publicação da série, vamos examinar os ataques cibernéticos que ameaçam o setor de ensino.

À primeira vista, organizações do setor de ensino não parecem um alvo típico para um ataque cibernético. Afinal de contas, uma instituição de ensino pode não ter recursos tão grandes quanto organizações de outros setores, e a maioria dos seus usuários são alunos jovens. No entanto, ao realizar um exame mais minucioso, as organizações de ensino são alvos lucrativos para criminosos cibernéticos que tentam roubar dados sensíveis.

As instituições de ensino contêm muitas informações pessoais, como nomes, endereços, números de Previdência Social, detalhes financeiros e até mesmo condições médicas críticas dos alunos matriculados. Além disso, no mundo de hoje, onde inúmeras instituições de ensino superior colaboram com o governo e o setor privado para realizar pesquisas, ataques cibernéticos patrocinados pelo Estado com motivos geopolíticos são uma ameaça constante.

Os administradores de segurança de TI que trabalham com instituições de ensino navegam por um cenário de ameaças desafiador, formado por diversos dispositivos e ativos que precisam de proteção 24 horas por dia. Vamos discutir algumas das ameaças que podem derrubar uma instituição de ensino e como a UEBA pode ajudar a combatê-las.

Bloqueados

Parecia os anos 90 no Greendale Community College, com as avaliações sendo realizadas a caneta e papel, professores marcando a presença dos alunos manualmente e bibliotecários correndo pelos corredores para ajudar os alunos a localizar os livros. Um grande ataque de ransomware paralisou a rede de Greendale, levando a faculdade à era pré-internet.

Ataque de ransomware causa queda da rede no Greendale Community College.

A Greendale foi vítima de uma campanha de malvertising que introduziu ransomware na rede da organização. Malvertising é uma técnica que hackers utilizam para inserir malware em anúncios online visando infectar computadores. Um usuário da faculdade clicou em um desses anúncios maliciosos, que o redirecionou para uma URL diferente de onde o ransomware foi baixado sem o conhecimento do usuário, fornecendo acesso à rede aos hackers. Uma vez que os hackers obtiveram acesso, eles fizeram uma varredura na rede em busca de recursos compartilhados que tinham senhas fracas ou hardware não seguro e, a partir daí, se movimentaram lateralmente na rede até finalmente paralisar a organização.

Embora a Greendale tenha decidido não pagar o resgate e esteja trabalhando arduamente para colocar seus sistemas novamente online, o contratempo poderia ter sido completamente evitado caso a faculdade tivesse utilizado uma solução de UEBA para proteger sua rede. A UEBA poderia ter detectado as anomalias de padrão e contagem assim que o malware começou a executar mudanças em vários arquivos no computador da primeira vítima e alertado os administradores de TI para tomar medidas corretivas. O dispositivo poderia ter sido colocado em quarentena facilmente na rede da faculdade, interrompendo a propagação e limitando os danos.

Phishing para informações pessoalmente identificáveis (PII)

Ryan Demming é um oficial de admissões na Brookefield Academy, um dos internatos particulares mais estabelecidos dos Estados Unidos. A temporada de admissões atinge seu pico no final de julho, quando Ryan recebe um e-mail com o assunto “Aceitação da oferta - Reg”, contendo algumas perguntas sobre como aceitar a oferta de admissão no portal da escola. Ryan não percebe que isso é um ataque de spear phishing.

Os invasores usam spear phishing para obter acesso ao banco de dados crítico da escola.

Assim que ele abriu o e-mail, o malware incorporado, capaz de enviar dados aos invasores por e-mail, foi baixado para o sistema de Ryan. O malware começou a executar vários comandos no PowerShell para acessar o banco de dados contendo informações dos alunos. Esse banco de dados confidencial, contendo informações de identificação pessoal dos alunos, cópias de certificados educacionais, histórico médico, e muito mais, pode ser utilizado para realizar o roubo de identidades e extorsão, ou até mesmo para cometer crimes organizados.

Felizmente, a solução de UEBA da Brookefield conseguiu evitar a tentativa de exfiltração de dados do malware antes que ele pudesse enviar o banco de dados copiado por e-mail para o servidor de comando e controle (C&C) dos invasores cibernéticos. A solução de UEBA aumentou drasticamente a pontuação de risco do computador de Ryan ao detectar vários comandos do PowerShell que foram executados em uma sequência rápida para acessar e copiar bancos de dados dos alunos, alertando a equipe de segurança cibernética da escola e ajudando-os a evitar o ataque.

O diabo disfarçado

A maioria das instituições de ensino restringe o uso da internet para evitar o acesso a sites e aplicações não autorizados. A Universidade de Hudson, uma das principais instituições do país, é conhecida pela sua alta produção de pesquisa, tendo inovado recentemente na medicina regenerativa. Várias empresas farmacêuticas estavam tentando obter acesso à metodologia de pesquisa e resultados obtidos pela universidade, tornando-a um alvo principal de roubo de propriedade intelectual.

Samantha Fernando, uma estudante de graduação na escola de ciências da vida, não tem conhecimento dos criminosos cibernéticos que buscam obter acesso à rede do departamento e baixa uma rede virtual privada (VPN) de uma fonte não verificada para acessar páginas web bloqueadas. A VPN, originalmente um malware Trojan, foi programada para se mover lateralmente na rede, obter acesso ao servidor que abrigava os arquivos de pesquisa e transmiti-los para o servidor C&C dos criminosos. Inadvertidamente, Samantha tornou-se o ponto de entrada, expondo toda a rede.

Um malware Trojan disfarçado de VPN é utilizado por criminosos cibernéticos para penetrar na rede da universidades.

No entanto, os criminosos não tiveram sucesso na sua tentativa de roubar os arquivos de pesquisa. A solução de UEBA que a universidade utilizava detectou a contagem repentina e incomum de eventos de varredura de portas ocorrendo na rede e aumentou a pontuação de risco das entidades a partir das quais o evento estava ocorrendo. O aumento repentino na pontuação de risco de diversas entidades conectadas à rede alertou os administradores de rede sobre atividades suspeitas, que investigaram os incidentes e eliminaram o malware, mitigando efetivamente a intrusão do malware antes que ele pudesse atingir servidores críticos.

Muitas escolas e faculdades têm sucesso em transmitir educação sobre segurança cibernética aos seus alunos, mas falham em implementar esses princípios na rede de suas instituições. Com o número e intensidade dos ataques cibernéticos aumentando drasticamente nesta área, as instituições de ensino que não têm medidas adequadas de segurança cibernética devem ficar preocupadas.

Ao utilizar soluções de segurança inteligentes, como a UEBA, universidades e escolas podem proteger suas redes contra vários ataques cibernéticos que podem comprometer a instituição e suas partes interessadas.