Uma empresa que foi vítima de um ataque de ransomware e pagou milhões de libras aos criminosos cibernéticos pela chave de descriptografia para restaurar sua rede foi vítima exatamente do mesmo ransomware menos de duas semanas depois por não examinar as causas do ataque.
A história é detalhada pelo National Cyber Security Centre (NCSC) do Reino Unido em uma postagem de blog sobre a ascensão do ransomware.
A empresa não identificada foi vítima de um ataque de ransomware e pagou milhões em bitcoin para restaurar a rede e recuperar os arquivos.
No entanto, a empresa deixando de analisar como os criminosos cibernéticos se infiltraram na rede o problema voltou para assombrá-los quando os mesmos cibercriminosos infectaram novamente a rede com o mesmo ransomware menos de duas semanas depois.
A empresa acabou pagando um resgate pela segunda vez.
“Ouvimos falar de uma organização que pagou um resgate (um pouco menos de £ 6,5 milhões com as taxas de câmbio de hoje) e recuperou seus arquivos (usando o descriptografador fornecido), sem nenhum esforço para identificar a causa raiz e proteger sua rede. Menos de duas semanas depois, o mesmo atacante atacou a rede da vítima novamente, usando o mesmo mecanismo de antes, e reimplantou seu ransomware. A vítima sentiu que não tinha outra opção a não ser pagar o resgate novamente “, disse o blog do NCSC.
O NCSC detalhou o incidente como uma lição para outras organizações – e a lição é que:
- Se você for vítima de um ataque de ransomware, descubra como foi possível que os criminosos cibernéticos se incorporaram à rede sem serem detectados antes que o ransomware fosse liberado.
“Para a maioria das vítimas que chegam ao NCSC, sua primeira prioridade é – compreensivelmente – recuperar seus dados e garantir que seus negócios possam operar novamente. No entanto, o verdadeiro problema é que o ransomware costuma ser apenas um sintoma visível de uma intrusão de rede mais séria que pode ter persistido por dias, e possivelmente mais”, disse a postagem no blog de um líder técnico do NCSC para gerenciamento de incidentes.
Para instalar o ransomware, os cibercriminosos podem ter conseguido obter acesso backdoor à rede – potencialmente por meio de uma invasão de malware anterior – bem como ter privilégios de administrador ou outras credenciais de login.
Examinar a rede após um incidente de ransomware e determinar como o malware foi capaz de entrar na rede e não ser detectado por tanto tempo é, portanto, algo que todas as organizações que são vítimas de ransomware devem considerar junto com a restauração da rede – ou de preferência, antes eles até pensam em restaurar a rede.
Quais são alguns possíveis prejuízos de um ataque?
Alguns podem acreditar que pagar o resgate aos criminosos será o meio mais rápido e econômico de restaurar a rede – mas também raramente é o caso. Porque não só o resgate é pago, potencialmente a um custo de milhões, mas a análise pós-evento e reconstrução de uma rede danificada também custa grandes quantias.
E, como observa o NCSC, ser vítima de um ataque de ransomware geralmente leva a um longo período de interrupção antes que as operações se assemelhem a algo normal.
“A recuperação de um incidente de ransomware raramente é um processo rápido. A investigação, a reconstrução do sistema e a recuperação de dados geralmente envolvem semanas de trabalho”, disse o post.
Como evitar um ataque ransomware?
A melhor maneira de evitar isso é garantir que sua rede esteja protegida contra ataques cibernéticos em primeiro lugar, fazendo coisas como garantir que os sistemas operacionais e patches de segurança estejam atualizados e aplicando autenticação multifator em toda a rede.
Também é recomendado que as organizações façam backups regulares de suas redes – e armazenem esses backups offline – para que, no caso de um ataque de ransomware bem-sucedido, a rede possa ser restaurada com o mínimo de interrupção possível.
Fonte: zdnet.com