ALLAH-LÁ-Ô, Ô Ô Ô Ô Ô Ô, NÃO É QUE O RANSOMWARE ME PEGOU, Ô Ô Ô Ô Ô Ô

ALLAH-LÁ-Ô, Ô Ô Ô Ô Ô Ô, NÃO É QUE O RANSOMWARE ME PEGOU, Ô Ô Ô Ô Ô Ô

Enquanto estávamos preocupados com as vacinas, com as idas e vindas dos lockdowns, se íamos ou não ter carnaval etc. os hackers alheios à todas estas preocupações continuaram na sua rotina de trabalho e infectaram com ransomware as Centrais Elétricas Brasileiras (Eletrobras) e a Companhia Paranaense de Energia (Copel) que foram obrigadas a suspenderem parcialmente as suas operações administrativas, segundo noticia divulgada no dia 09/02/21 pelo SANS NewsBites (https://www.sans.org/newsletters/newsbites/xxiii/11).   As operações de fornecimento de energia elétrica de ambas as empresas não foram afetadas, segundo a nota.

Não foi a primeira nem será a última vez que empresas foram infectadas por ransomwares.   Nestes ataques foram roubados e vazados de uma das empresas credenciais de acesso à rede e planos de engenharia que poderão vir a ser utilizados no futuro em outro ataque desta vez na parte operacional.

Por que estes ataques acontecem?

São vários os motivos pelos quais ataques de ransomware acontecem.

1. Os hackers – os meninos maus, como todos os criminosos, estão sempre pelo menos um passo à frente dos meninos bons, os desenvolvedores, os hackers éticos etc. Os fornecedores de software estão sempre correndo atrás para tapar os buracos deixados pelas atualizações anteriores.
2. Mesmo após a liberação de uma correção de vulnerabilidade as empresas demoram muito tempo para aplicarem estas correções ficando, portanto, ainda mais expostas ao ataque, uma vez que o próprio fornecedor da correção fez a divulgação da vulnerabilidade. Lembram-se do WannaCry 2.0?   Pois é, este ransomware se utilizava de uma vulnerabilidade conhecida e corrigida há muito tempo, e ainda assim muitas empresas foram afetadas por este ransomware ou variações dele.   É muito possível que até hoje muitas empresas ainda não tenham aplicado as correções necessárias.
3. Ah os usuários! Após anos e anos da implantação da Política de Segurança da Informação, campanhas de conscientização, cartilhas, brindes, posters etc. usuários curiosos clicam em arquivos de origem desconhecida e com títulos chamativos permitindo o acesso do ransomware à rede corporativa.
4. Extrema dependência de documentos de texto e planilhas. Com todo o avanço e utilização das ferramentas de automação de vendas, perfis de clientes etc. a maioria em nuvem, ainda é enorme a dependência de planilhas e outros arquivos de controle paralelo ou histórico.   É muito frequente identificarmos nas Análises de Impacto nos Negócios (BIA) que realizamos que o File Server está entre os recursos mais críticos a serem disponibilizados em caso de um incidente de TI.   Não é raro que o RTO (Recovery Time Objective) do File Server seja de 4 horas ou menos.   Isto sem falarmos que arquivos críticos armazenados no computador do usuário.
5. Home Office: a prática do teletrabalho como está sendo chamado agora abriu novas portas de acesso aos hackers e seus ransomware. É comum o colaborador estar acessando os aplicativos da empresa via VPN enquanto em outra aba do navegador ele está com o WhatsApp Web aberto recebendo arquivos de várias fontes via rede doméstica.

Como mitigar os ataques de ransomware?

Basicamente não praticando o que foi descrito acima.   Atualizando rapidamente os servidores e estações de trabalho; utilizar bons antivírus (também sempre atrasados em relação ao vírus), reforçar as campanhas de conscientização em segurança da informação, somente permitir o tráfego externo via VPN etc. são algumas das medidas que podem ser adotadas.

Se eu adotar todas as boas práticas estarei a salvo dos ransomwares?

Claro que não.   Adotar todas as boas práticas reduz a possibilidade de que você venha a ser atingido por um ataque de ransomware mas não a elimina e o motivo já foi explicado, os hackers estão sempre pelo menos um passo a frente dos bons meninos.

E o que fazer então se ocorrer um ataque de ransomware?

Esperamos que você não seja igual a um certo CSO que quando o questionamos sobre como ele reagiria a um ataque cibernético ele respondeu “Esta empresa não é alvo”.

Assumindo, portanto, que você admite a possibilidade de um ataque deste tipo você deve desenvolver, testar e manter atualizado:

1. o Grupo de Resposta de Incidentes Cibernéticos para identificar, responder, controlar e tratar ransomwares e outros incidente cibernéticos;
2. o Comitê de Crise para controlar a indisponibilidade e comunicar interna e externamente às partes interessadas todo o desenrolar do incidente;
3. o Plano de Continuidade de Negócios – PCN para manter as operações funcionando num determinado nível de serviço previamente definido;
4. rever e atualizar, se necessário, a Política de Backup e Restore, principalmente do File Server, de forma a atender o RTO e RPO quantificado na Análise de Impacto nos Negócios (BIA) e também
5. o Plano de Recuperação de Desastres (Disaster Recovery Plan – DRP);
6. lembrando que para as instituições controladas pelo Banco Central do Brasil – BACEN que este é um item regulatório previsto na Resolução 4.658 e na Circular 3.909;
7. e é claro, você sempre pode pagar o resgate, a decisão é sua.

Quer saber mais sobre como implantar Resposta a Incidentes e Emergências, Gestão de Crise, o Programa de Continuidade de Negócios, Recuperação de Desastres ou somente rever a sua Política de Backup/Restore?

Por favor preencha o formulário abaixo e entraremos em contato.

#ransomware     #continuidadedenegocios   #businesscontinuity   #gestaodecrise     #crisismanagement     #respostaaincidentes     #incidenteresponse     #disasterrecovery     #recuperacaodedesastres     #backuprestore     #pcn     #planodecontinuidadedenegocios     #DRP