ALLAH-LÁ-Ô, Ô Ô Ô Ô Ô Ô, NÃO É QUE O RANSOMWARE ME PEGOU, Ô Ô Ô Ô Ô Ô
Enquanto estávamos preocupados com as vacinas, com as idas e vindas dos lockdowns, se íamos ou não ter carnaval etc. os hackers alheios à todas estas preocupações continuaram na sua rotina de trabalho e infectaram com ransomware as Centrais Elétricas Brasileiras (Eletrobras) e a Companhia Paranaense de Energia (Copel) que foram obrigadas a suspenderem parcialmente as suas operações administrativas, segundo noticia divulgada no dia 09/02/21 pelo SANS NewsBites (https://www.sans.org/newsletters/newsbites/xxiii/11). As operações de fornecimento de energia elétrica de ambas as empresas não foram afetadas, segundo a nota.
Não foi a primeira nem será a última vez que empresas foram infectadas por ransomwares. Nestes ataques foram roubados e vazados de uma das empresas credenciais de acesso à rede e planos de engenharia que poderão vir a ser utilizados no futuro em outro ataque desta vez na parte operacional.
Por que estes ataques acontecem?
São vários os motivos pelos quais ataques de ransomware acontecem.
- Os hackers – os meninos maus, como todos os criminosos, estão sempre pelo menos um passo à frente dos meninos bons, os desenvolvedores, os hackers éticos etc. Os fornecedores de software estão sempre correndo atrás para tapar os buracos deixados pelas atualizações anteriores.
- Mesmo após a liberação de uma correção de vulnerabilidade as empresas demoram muito tempo para aplicarem estas correções ficando, portanto, ainda mais expostas ao ataque, uma vez que o próprio fornecedor da correção fez a divulgação da vulnerabilidade. Lembram-se do WannaCry 2.0? Pois é, este ransomware se utilizava de uma vulnerabilidade conhecida e corrigida há muito tempo, e ainda assim muitas empresas foram afetadas por este ransomware ou variações dele. É muito possível que até hoje muitas empresas ainda não tenham aplicado as correções necessárias.
- Ah os usuários! Após anos e anos da implantação da Política de Segurança da Informação, campanhas de conscientização, cartilhas, brindes, posters etc. usuários curiosos clicam em arquivos de origem desconhecida e com títulos chamativos permitindo o acesso do ransomware à rede corporativa.
- Extrema dependência de documentos de texto e planilhas. Com todo o avanço e utilização das ferramentas de automação de vendas, perfis de clientes etc. a maioria em nuvem, ainda é enorme a dependência de planilhas e outros arquivos de controle paralelo ou histórico. É muito frequente identificarmos nas Análises de Impacto nos Negócios (BIA) que realizamos que o File Server está entre os recursos mais críticos a serem disponibilizados em caso de um incidente de TI. Não é raro que o RTO (Recovery Time Objective) do File Server seja de 4 horas ou menos. Isto sem falarmos que arquivos críticos armazenados no computador do usuário.
- Home Office: a prática do teletrabalho como está sendo chamado agora abriu novas portas de acesso aos hackers e seus ransomware. É comum o colaborador estar acessando os aplicativos da empresa via VPN enquanto em outra aba do navegador ele está com o WhatsApp Web aberto recebendo arquivos de várias fontes via rede doméstica.
Como mitigar os ataques de ransomware?
Basicamente não praticando o que foi descrito acima. Atualizando rapidamente os servidores e estações de trabalho; utilizar bons antivírus (também sempre atrasados em relação ao vírus), reforçar as campanhas de conscientização em segurança da informação, somente permitir o tráfego externo via VPN etc. são algumas das medidas que podem ser adotadas.
Se eu adotar todas as boas práticas estarei a salvo dos ransomwares?
Claro que não. Adotar todas as boas práticas reduz a possibilidade de que você venha a ser atingido por um ataque de ransomware mas não a elimina e o motivo já foi explicado, os hackers estão sempre pelo menos um passo a frente dos bons meninos.
E o que fazer então se ocorrer um ataque de ransomware?
Esperamos que você não seja igual a um certo CSO que quando o questionamos sobre como ele reagiria a um ataque cibernético ele respondeu “Esta empresa não é alvo”.
Assumindo, portanto, que você admite a possibilidade de um ataque deste tipo você deve desenvolver, testar e manter atualizado:
- o Grupo de Resposta de Incidentes Cibernéticos para identificar, responder, controlar e tratar ransomwares e outros incidente cibernéticos;
- o Comitê de Crise para controlar a indisponibilidade e comunicar interna e externamente às partes interessadas todo o desenrolar do incidente;
- o Plano de Continuidade de Negócios – PCN para manter as operações funcionando num determinado nível de serviço previamente definido;
- rever e atualizar, se necessário, a Política de Backup e Restore, principalmente do File Server, de forma a atender o RTO e RPO quantificado na Análise de Impacto nos Negócios (BIA) e também
- o Plano de Recuperação de Desastres (Disaster Recovery Plan – DRP);
- lembrando que para as instituições controladas pelo Banco Central do Brasil – BACEN que este é um item regulatório previsto na Resolução 4.658 e na Circular 3.909;
- e é claro, você sempre pode pagar o resgate, a decisão é sua.
Quer saber mais sobre como implantar Resposta a Incidentes e Emergências, Gestão de Crise, o Programa de Continuidade de Negócios, Recuperação de Desastres ou somente rever a sua Política de Backup/Restore?
Por favor preencha o formulário abaixo e entraremos em contato.
#ransomware #continuidadedenegocios #businesscontinuity #gestaodecrise #crisismanagement #respostaaincidentes #incidenteresponse #disasterrecovery #recuperacaodedesastres #backuprestore #pcn #planodecontinuidadedenegocios #DRP