This post is also available in: Português
Conhecido pelo nome de Ryuk, malware contou com o desleixo de um colaborador ligado aos trabalhos.
Este é mais um daqueles casos que mostram como a negligência com a segurança digital pode afetar o trabalho de centenas de pessoas. É a história real de uma empresa envolvida na pesquisa do Covid-19, que perdeu todos os dados coletados durante uma semana após um ataque do ransomware Ryuk – que usou uma senha roubada.
Quem trouxe o caso à tona foi uma multinacional de segurança digital, como um alerta do que pode acontecer quando as empresas não seguem as melhores práticas de segurança.
Assim, o problema foi estudado a fundo, com o objetivo de entender como tudo aconteceu. Os analistas então rastrearam cada passo, e chegaram até um dos estudantes universitários com quem o instituto de pesquisa colabora como parte de seus programas de extensão.
Esse aluno instalou em seu computador o que achava ser uma versão pirata de uma ferramenta de visualização de dados. Porém, na realidade, o arquivo de instalação continha um malware para roubar informações. Pelo que se sabe, o jovem desativou o Windows Defender e o firewall do PC para instalar o suposto programa, mesmo depois de as ferramentas de segurança dispararem alertas de malware. Muitas vezes, essa é a única maneira de instalar softwares piratas no Windows.
Silencioso e mortal
Foi aí que os problemas começaram a surgir – mesmo que inicialmente às escondidas. O malware passou a coletar históricos de teclas pressionadas no teclado, histórico de sites visitados, cookies, dados da área de transferência e, principalmente, os logins do aluno para o instituto de pesquisa.
Treze dias depois, uma conexão do tipo Remote Desktop Protocol (RDP) foi registrada na rede do instituto usando as credenciais do aluno. Uma característica marcante do RDP é que também aciona a instalação automática de drivers de impressora, para que os usuários possam imprimir documentos remotamente. Isso permitiu à equipe de investigação perceber que a conexão RDP registrada envolvia um driver em russo, o que levou a imaginar que pudesse ser um acesso não autorizado. Dez dias depois que essa conexão foi feita, o ransomware Ryuk foi lançado.
O estrago só não foi maior porque o estudante tinha back-ups – ainda que não totalmente atualizados. Isso significa que uma semana de pesquisas vitais foi perdida. A empresa também sofreu um custo operacional significativo, pois todos os arquivos de computador e servidor tiveram que ser reconstruídos do zero antes que os dados pudessem ser restaurados.
Ação orquestrada
“É improvável que os operadores por trás do malware embutido no software pirateado sejam os mesmos que lançaram o ataque do Ryuk”, disse Peter Mackenzie, gerente de Resposta Rápida de uma multinacional de segurança digital.
O motivo é que existe um grande mercado clandestino de redes previamente invadidas, que dão aos interessados um acesso inicial facilitado – muitas vezes por preços relativamente baixos. “Então, acreditamos que os operadores do malware venderam seu acesso para outro invasor. A conexão RDP pode ter sido oriunda dos corretores de acesso verificando se o seu ‘produto’ estava funcionando”.
Para fugir de contratempos do tipo, existem medidas recomendadas por inúmeros especialistas. Uma delas é a autenticação multifator (MFA) para acesso a quaisquer redes internas, especialmente de terceiros. Deve-se também manter os softwares atualizados regularmente, segmentando redes e restringindo os privilégios das contas.
Outra dica é bloquear o acesso RDP com regras de rede local (LAN) estáticas, por meio de uma política de grupo ou usando listas de controle de acesso. Porém, a grande lição que fica do caso é: jamais confiar em softwares piratas. Apesar de ser uma sugestão bastante antiga e óbvia, precisa ser relembrada de tempos em tempos – como mostra o exemplo do estudante em questão.
This post is also available in: Português
