Ransomware na Telecom Argentina afetou 18.000 PCs

Ransomware na Telecom Argentina afetou 18.000 PCs

Ransomware na Telecom Argentina afetou 18.000 PCsSegundo o site de notícias de segurança da informação CISOAdvisor (https://www.cisoadvisor.com.br/telecom-argentina-sofreu-ataque-de-ransomware-no-sabado/) a companhia Telecom Argentina teria sofrido um ataque de ransomware possivelmente no dia 20/07 e que afetou aproximadamente 18.000 estações de trabalho.   Foi pedido um resgate de US$ 7,5MM para o fornecimento da chave de descriptografia.

Em tempos de pandemia com a maioria das operações em home office este tipo de notícia está se tornando cada vez mais frequente.   Já fizemos vários posts sobre este assunto (https://strohlbrasil.com.br/?s=ransomware)

Segundo a empresa de pesquisa de mercado Technavio (https://www.technavio.com/report/business-continuity-management-solutions-market-industry-analysis) o mercado de Continuidade de Negócios deve crescer aproximadamente US$ 387MM no período de 2020-2024 principalmente devido a incidentes de segurança cibernética.

Mas porque estes problemas acontecem?

Estes incidentes, assim como os acidentes aeronáuticos, acontecem devido a uma sequência de problemas, vulnerabilidades, falhas de projeto, erros, problemas operacionais etc. os quais, inevitavelmente, levam a um incidente/desastre.   Vejamos os principais grupos de problemas:

1 – Culturais

Nos nossos 20 anos de atuação no mercado de Continuidade de Negócios frequentemente nos deparamos com gestores de segurança da informação (CIOs/CSOs/CISOs) que se orgulham das soluções tecnológicas instaladas e negam a possibilidade da ocorrência de incidentes de segurança da informação.   Recordamos de um em particular que quando questionado sobre isto respondeu “A nossa empresa não é target” e que está enfrentando um ataque ransomware nesta exata semana.   A pergunta a ser respondida é “Se acontecer o que vamos fazer?” e não negar a possibilidade da ocorrência do problema.

Outro ponto, talvez o mais crítico, sejam os usuários finais.   Um outro cliente nosso, da área de saúde, após uma recente campanha de conscientização em segurança da informação simulou um ataque de “fishing” e aproximadamente 20% dos usuários clicaram no link e 8% fornecerem dados pessoais.   Não há solução tecnológica que nos proteja de um cenário como este.

2 – Tecnológicos

Todos os softwares, sem exceção, têm algum tipo de vulnerabilidade que pode ser explorada pelos criminosos cibernéticos.   Por este motivo os fornecedores destes softwares liberam, de tempos em tempos, correções para estes problemas o que nos traz mais problemas.

  1. Por um determinado período desde a instalação do software até a liberação da correção ficamos expostos ao risco, limitado a alguns invasores com o conhecimento necessário.
  2. Entre até a data da liberação da correção, quando a vulnerabilidade foi tornada pública mundialmente até a data da instalação da correção em todos os equipamentos da nossa rede, ficamos mais expostos ao risco por qualquer invasorzinho de fundo de quintal que teve acesso ao como explorar esta vulnerabilidade na deep/dark web. Lembramos que muitas empresas ainda não aplicaram as correções necessárias contra o WannaCry outro ransomware famoso (https://strohlbrasil.com.br/wannacry-3-0-voce-esta-preparado-2/)
  3. Isto assumindo que o software ainda esteja em manutenção e que estamos com o contrato de atualização tecnológica vigente. Não é incomum encontrarmos empresas operando com versões de sistemas operacionais descontinuadas (End of Maintenance/Support).   Segundo o site de pesquisa Statcounter (https://gs.statcounter.com/os-version-market-share/windows/desktop/worldwide) aproximadamente 20% das organizações no mundo ainda utilizam o Windows 7, descontinuado em 14/01/20.
3- Temporal

E por mais que você se esforce, não adianta, o criminoso cibernético sempre estará, pelo menos um passo, a frente das correções das vulnerabilidades.   Portanto, a pergunta correta não é “Se vamos ter um incidente de segurança cibernética?” e sim “Quando vamos ter um incidente de segurança cibernética?”

Consequências

A depender do tipo de incidente cibernético que você venha a sofrer as consequências são previsíveis:

  1. Indisponibilidade: seja um DDoS, ransomware ou código malicioso sua rede ficará, na melhor das hipóteses parcialmente, indisponível afetando seus clientes e parceiros comerciais. Este tempo de indisponibilidade atende as necessidades dos seus usuários – RTO?
  2. Perda de dados: muito possivelmente você dependerá de restores para recuperar as informações comprometidas. Se sua política é de um backup ao dia, na média, seus usuários perderão meio dia de informações.   Isto é aceitável para eles – RPO?   Quanto tempo irá demorar o restore?   Acrescente este tempo ao tempo da indisponibilidade da rede do item acima.   Um restore a partir de fita tem uma performance de 4 Tbytes/hora, no melhor cenário.   Um arquivo de 100 Tbytes, comum nos dias de hoje, levará pelo menos 25 horas para ser restaurado.   Se for um banco de dados as coisas podem ser piores, além do restore full será necessário aplicar todos os archieves desde o backup full até o momento do incidente.   Se for numa sexta-feira …
    RTO e RPO.   Você conhece estas siglas?  (https://strohlbrasil.com.br/mtpd-mbco-rto-e-rpo-voce-conhece-estas-siglas/)
  3. Validação: acrescente ao tempo de indisponibilidade todo o esforço necessário para:
    a) Restaurar as estações de trabalho, se for necessário. No caso do ataque à Telecom Argentina 18.000 estações de trabalho foram infectadas.   Quanto tempo será necessário para restaurar todas estas estações?
    b) Assegurar que não há mais nenhum vestígio do código malicioso na rede pois, caso contrário, começa tudo de novo.
    c) Conciliar as informações entre os vários arquivos restaurados. É muito provável que os backups dos arquivos foram feitos em diferentes horários do dia (provavelmente da noite) e, consequentemente, com posições diferentes entre eles.   Enquanto toda a produção está rodando não há problemas, tudo estará consistente.   Após a restauração, mesmo que seja de um arquivo só, haverá perda de consistência/integridade entre as informações.   Como isto será resolvido?   Os usuários poderão acessar a rede durante este período?
  4. Pode ser um item regulatório: é possível que a sua organização tenha que atender as regulamentações do Banco Central do Brasil que prevêm a existência de uma Política de Segurança Cibernética.
Solução
  1. Faça uma abordagem holística e estruturada utilizando o framework da norma ISO 22301 e com foco nas necessidades dos seus usuários (https://strohlbrasil.com.br/etapas-da-gcn/) que deve incluir:
  1. Avaliação dos riscos
  2. Análise de Impacto nos Negócios – BIA;
  3. Implemente Estratégias de Recuperação versus o Apetite a Risco a ser tomado;
  4. Desenvolva os seus procedimentos de Resposta a Incidentes, Gestão de Crise, Continuidade de Negócios e de Recuperação das Informações;
  5. Implante um Programa de testes, atualização. e melhoria continua – PDCA – desta estrutura

Enquanto você continuar negando que incidentes como este possam acontecer, exercite a sua fé: faça figa, reze o terço, acenda velas, faça promessas, oferendas … depois não adianta culpar os hackers.

Quer saber mais sobre Planos de Contingência ou Continuidade de Negócios, de Recuperação de Desastres (Disaster Recovery) ou Resiliência Operacional que incluem incidentes de segurança da informação, ransomware etc.?  Por favor preencha o formulário abaixo e entraremos em contato.

 

Compartilhe este Artigo

Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp

Artigos Relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza cookies para proporcionar uma melhor experiência para nossos usuários. Ao continuar a navegação neste site, você estará de acordo com os cookies que estão sendo utilizados. Se quiser saber mais sobre nossa política de cookies, clique aqui.