This post is also available in: Português Español
O caso da empresa que pagou o resgate e foi atacada novamente porque não protegeu a sua rede.
Quem tem sua casa invadida por ladrões geralmente adota medidas de segurança mais fortes depois do ocorrido. Põe grades nas janelas, instala portões mais altos, compra fechaduras mais modernas e adota um comportamento mais rígido – tudo para evitar que o ladrão volte.
Se essa mesma metodologia for aplicada no caso de uma invasão virtual, como num ataque de crackers, será bem mais difícil para os cibercriminosos retornarem. Provavelmente não conseguirão, e acabam buscando outros alvos que sejam mais fáceis de invadir.
Mas uma empresa do Reino Unido não levou isso a sério e acabou atacada novamente. Em resumo, foi vítima de um ransomware e pagou milhões em Bitcoins pela chave de descriptografia para restaurar sua rede. Contudo, foi vítima da mesma gangue duas semanas depois, após deixar de examinar como o primeiro ataque aconteceu.
A história foi revelada pelo Centro Nacional de Segurança Cibernética (NCSC, na sigla em inglês), que usa o caso para alertar sobre a ascensão dos ransomwares.
Dura lição
De fato, a empresa não identificada falhou ao analisar como os criminosos cibernéticos se infiltraram na rede. E o castigo veio; o mesmo bando infectou a rede com o mesmo ransomware menos de duas semanas depois. A empresa acabou pagando o resgate pela segunda vez.
“Soubemos que não houve nenhum esforço para identificar a causa raiz e proteger aquela rede. Quando os ladrões voltaram, a vítima sentiu que não tinha outra opção a não ser pagar o resgate novamente”, diz um trecho de um comunicado do NCSC.
O órgão detalhou o incidente como uma lição para outras empresas. A moral da história é que, se você for vítima de um ataque de ransomware, descubra como foi possível que os criminosos se incorporassem à rede sem serem detectados antes que a carga útil do ransomware fosse liberada.
“Para a maioria das vítimas que procuram o NCSC, compreendemos que sua prioridade é obter seus dados de volta e garantir que seus negócios possam operar novamente. No entanto, o verdadeiro problema é que o ransomware muitas vezes é apenas um sintoma visível de uma intrusão de rede mais séria que pode ter persistido por dias”, disse um líder técnico do NCSC que lida com gerenciamento de incidentes.
Para instalar o ransomware, os criminosos cibernéticos podem obter acesso backdoor à rede – muitas vezes por meio de uma invasão de malware anterior – bem como ter privilégios de administrador ou outras credenciais de login.
Se os crackers tiverem isso, poderiam facilmente implantar outro ataque se quisessem. E foi exatamente o que aconteceu no exemplo detalhado pelo NCSC, já que a vítima não examinou como sua rede foi comprometida.
Meios de resolver
Examinar a rede após um incidente de ransomware e determinar como o malware pôde entrar na rede – e não ser detectado por tanto tempo – é, portanto, algo que todas as empresas que são vítimas de ransomware devem considerar junto com a restauração da rede.
Alguns podem acreditar que pagar o resgate aos criminosos será o meio mais rápido e econômico de voltar à normalidade. Mas isso raramente acontece, porque existe o custo do resgate em si – às vezes na casa dos milhões de reais – há a análise pós-evento e também a reconstrução de uma rede danificada, que significa gastar grandes quantias.
E, como observa o NCSC, ser vítima de um ataque de ransomware geralmente leva a um longo período de interrupção antes que tudo comece a ficar como era antes. “A recuperação de um incidente de ransomware raramente é um processo rápido. A investigação, a reconstrução do sistema e a recuperação de dados geralmente envolvem dias e dias de trabalho”, disse o post da instituição.
A melhor maneira de evitar tudo isso é, em primeiro lugar, garantir que a rede esteja protegida contra ataques cibernéticos, certificando-se que os sistemas operacionais e patches de segurança estejam atualizados – aplicando ainda a autenticação multifator em toda a rede.
Também é recomendável que as empresas regularmente façam backups de suas redes, e armazenem esses backups offline. HD´s externos portáteis podem ser usados exclusivamente para essa tarefa, sendo que alguns modelos com grande espaço de armazenamento custam menos de R$ 1000. Assim, no caso de um ataque de ransomware bem-sucedido, a rede pode ser restaurada com um nível de interrupção muito menor.
Seja qual for o conjunto de soluções adotado, é preciso dedicação diária em mantê-lo funcionando. Por mais tempo que exista entre duas tentativas de ataque, o alerta precisa ser constante. Afinal, os cibercriminosos só precisam de uma única brecha para invadir – e a questão não é se vão retornar, mas quando vão tentar roubar novamente.
This post is also available in: Português Español