Segurança da Informação – Um ataque de ransomware ao fabricante de aviões belga ASCO, no último dia 14 de Junho, é o último de uma série de incidentes que mostram o perigo real que existe neste tipo de campanha de malware.
O aumento do ransomware custou às empresas milhões para remediar – tanto na realização de pagamentos quanto na restauração do sistema e tempo de inatividade – e deve levar as organizações de todos os tamanhos a tomar medidas preventivas.
A ASCO, uma das maiores fornecedoras de aviões do mundo, disse nesta semana, que fechou a produção em suas fábricas no Canadá, Alemanha e Estados Unidos depois que uma infecção por ransomware paralisou sua fábrica em Zaventem, na Bélgica.
Cerca de 1.000 de seus 1.400 trabalhadores receberam licença para a semana, enquanto a empresa trabalha para remediar o problema, segundo a mídia alemã. Se a ASCO pagou o resgate, não está claro, mas o impacto em suas operações é claramente severo.
“O fabricante de aviões ASCO, atingido pelo ransomware, continua a tendência dos cibercriminosos concentrando seus esforços na indústria e na fabricação como seus alvos – reconhecendo o efeito altamente custoso e perturbador que tal paralisação terá nos negócios“, disse Shlomie Liberow, gerente do programa técnico. no HackerOne, via e-mail. “A compreensão pública do ransomware está em ascensão, por isso, se a ASCO reagir rapidamente e de uma forma que mantenha os interessados relevantes informados, esperamos que não haja danos permanentes à reputação”.
Uma sequência de incidentes de alto impacto
De acordo com o Relatório de Investigações de Violações de Dados da Verizon (DBIR) de 2019, os ataques de ransomware continuam fortes, representando quase 24% dos incidentes em que o malware foi usado. E de acordo com o Relatório sobre Crimes na Internet do FBI, 1493 ataques de ransomware resultaram em perdas de US$ 3,6 milhões em 2018.
O relatório do FBI observa que a estimativa não inclui perdas de negócios, salários, arquivos, equipamentos, produtividade ou custos de remediação de terceiros e, “em alguns casos, as vítimas não relatam qualquer perda ao FBI, criando assim uma baixa estatística de perdas. Por último, o número representa apenas o que as vítimas relatam ao FBI através do IC3 e não contabiliza as vítimas relatando diretamente aos escritórios / agentes de campo do FBI”.
Além disso, enquanto os ataques de ransomware estão em ascensão, o mesmo ocorre com o escopo dos ataques. Chris Dawson, líder de inteligência em ameaças da Proofpoint, disse que incidentes recentes apontam para agentes de ameaças que tentam tirar proveito de bolsões mais profundos e maiores, para exigir resgates muito maiores – ao contrário de campanhas anteriores, que visavam indivíduos que exigiam centenas de dólares para desbloquear um PC individual.
Isso é exemplificado em uma série de ataques de ransomware de alto nível em grandes municípios, fabricantes e outras empresas no ano passado, dos quais o incidente da ASCO é uma continuação. Em 2018, vários sistemas da cidade de Atlanta foram danificados depois que um ataque de ransomware extorquiu o município por US$ 51.000. Embora as autoridades de Atlanta tenham dito que não pagariam o resgate, a cidade acabou gastando US$ 2,6 milhões para se recuperar. Essas despesas cobriram a resposta a incidentes e análise forense digital, recursos adicionais e experiência em infraestrutura da Microsoft Cloud.
A cidade de Baltimore é outra vítima recente de ransomware, que atingiu maio e suspendeu alguns serviços da cidade, como contas de água, licenças e muito mais.
Como em Atlanta, os funcionários de Baltimore se recusaram a pagar o resgate de US$ 76 mil – mas acabaram distribuindo US$ 18,2 milhões em custos de restauração e perda de receita.
E em um dos casos de maior repercussão, a Norsk Hydro foi vítima, em março, de um grave ataque de ransomware que obrigou a empresa a desligar ou isolar várias usinas e enviar várias outras para o modo manual. O ataque acabou custando ao gigante de alumínio US$ 40 milhões.
“O ataque RobbinHood na cidade de Baltimore se encaixa com um tema que observamos como ransomware no espaço de e-mail malicioso em grande parte secou“, disse Dawson em um e-mail. “Em vez de segmentar indivíduos em campanhas de e-mail de alto volume, como vimos frequentemente em 2016 e 2017, os agentes de ameaças estão usando ransomware em ataques direcionados contra alvos-chave para resgates muito maiores.
Assim como a Norsk Hydro e outras “organizações-alvo”, parece que os agentes de ameaças fazem uso dos comprometimentos de rede para, então, carregar o ransomware em dispositivos vulneráveis”.
Dito isso, é claro, além desses, muitos nomes não familiares são atingidos todos os dias também.
O rescaldo e o dilema do pagamento
Um ataque de ransomware será caro e prejudicial, não importa o tamanho da organização: de acordo com um relatório do SentinelOne, o custo médio de um ataque de ransomware é de mais de US$ 900.000. Isso inclui o próprio resgate, tempo de inatividade e perda de produtividade, correção, custos legais e muito mais.
“As empresas enfrentam inúmeras ameaças cibernéticas de hackers, mas o ransomware é particularmente insidioso e comum”, disse Daniel Markuson, especialista em privacidade digital da NordVPN.
“Quando o ransomware infecta um servidor, ele se espalha rapidamente para criptografar todos os arquivos desse servidor. Obviamente, isso pode ser desastroso para uma empresa – toda a folha de pagamento, informações de clientes, contratos e segredos comerciais são todos inacessíveis. Depois de implantado, o hacker simplesmente exige um resgate da empresa antes de desbloquear seus arquivos. Isso é somente se eles forem honestos, no entanto”.
Quanto a pagar, muitas organizações se encontram em um dilema quando atingidas por ransomware. A escolha é muitas vezes para pagar o resgate e esperar que os criminosos mantenham suas palavras e entreguem as chaves de decodificação, ou que paguem uma empresa de segurança cibernética para realizar remediação e limpeza, o que pode custar mais do que o resgate real. O último caminho é mais ético, evitando enviar dinheiro para bolsos criminosos. Mas a escolha de “pagar ou não pagar” pode ser difícil.
“É fácil dizer que as empresas nunca devem pagar, mas também é bastante irreal“, disse Brett Callow, porta-voz da Emsisoft. “A realidade é que fazer o pagamento pode ser a única opção que permitirá que uma empresa se torne operacional novamente dentro de um período de tempo razoável. É muito mais um caso de ética versus necessidade de negócios”.
Ele acrescentou: “pode ser a única opção de recuperação disponível. Em segundo lugar, algumas empresas podem acreditar que o pagamento é o caminho mais rápido para se tornar operacional novamente. Em terceiro lugar, em alguns casos, eles podem acreditar que fazer o pagamento lhes permitirá evitar que o assunto chame a atenção do público e de seus acionistas”.
Embora algumas ferramentas de descriptografia estejam disponíveis, as empresas de remediação muitas vezes não têm opções para fornecer a seus clientes, se esses clientes não tiverem feito o backup completo de seus dados, de acordo com pelo menos, um pesquisador.
“Não tenho dúvidas de que existem muitas empresas que oferecem ‘ferramentas e táticas sofisticadas’ para descriptografar arquivos de vítimas por uma alta taxa“, disse Tyler Moffitt, analista de segurança da Webroot, por e-mail. “Também não me surpreende que a maioria das vezes todas essas empresas paguem o resgate e, então, cobrem um prêmio para a vítima. Essa é praticamente a única chance de que essas empresas de assistência consigam recuperar arquivos. Recuperá-los sem pagar o resgate é muito raro e novamente disponível apenas quando os criminosos cometem erros, de modo que, na maior parte, obter essas chaves de criptografia é impossível sem pagar o resgate e lidar diretamente com os criminosos”.
O ransomware também pode ter efeitos devastadores na reputação, além dos altos custos associados a um ataque. Isso é algo que o pagamento não conserta, mas é transparente sobre o que aconteceu e por que pode ajudar muito a amenizar esse golpe em particular, de acordo com Liberow, da HackerOne.
Por exemplo, a Norsk Hydro admitiu os detalhes corajosos, como o fato de ter que fechar as operações em vários locais, e o fato de que o incidente custou pelo menos US$ 40 milhões na primeira semana.
“A Norsk mostrou ao mundo que, embora o ransomware seja caro e devastador no momento, não precisa ter um efeito duradouro na reputação, pois a forma aberta e transparente como a Norsk lidou com o ataque resultou em um aumento no preço da ação“, observou Liberow.
Curiosamente, a recente resposta do Radiohead a um ataque de ransomware – que envolveu a liberação de um volume de 18 músicas inéditas de seu álbum “OK, Computer” em vez de pagar uma demanda de resgate de US$ 150.000 – demonstra o poder da marca positiva de uma filosofia de não negociar com cibercriminosos, segundo Peter Groucutt, diretor administrativo da Databarracks; Isso frustrou os esforços dos criminosos enquanto trazia boa publicidade.
“Liberar uma coleção de músicas inéditas, demos e outtakes, apesar de não convencionais, foi um golpe de mestre do Radiohead”, disse Groucutt. “Isso obviamente não é uma tática viável para a maioria das empresas que lidam com um ataque de ransomware, mas podemos aprender com o desafio do Radiohead“.
Como evitar ataques de Ransomware
A melhor abordagem para o ransomware é tirar sua empresa da lista de alvos. A higiene básica de segurança é o primeiro passo.
“Por mais difícil que pareça prevenir esses ataques, quando se trata de ransomware, a prevenção é sempre melhor do que remediar“, disse Liberow. “Isso significa garantir que todos os sistemas estejam atualizados com os patches mais recentes e que não haja vulnerabilidades ou pontos fracos de segurança que possam deixar uma organização exposta a invasores“.
Outro aspecto crucial da preparação para um ataque é simplesmente garantir que você tenha uma cópia extra dos seus arquivos disponíveis.
“Para reduzir os danos de qualquer possível ataque de ransomware, faça backups periódicos e seguros de seus dados“, disse Markuson. “Isso significa que, se um hacker invadir e infectar sua empresa com ransomware, você poderá ignorar suas demandas e reconstruir seus sistemas com os dados de backup (no entanto, não se esqueça de que eles também podem ter copiado alguns de seus dados para eles mesmos)“.
Investir também em soluções eficientes contra o Ransomware (proteção anti-ransomware) também é de fundamental importância.
“Dado que os ataques de ransomware estão se tornando cada vez mais comuns, não há desculpa para estarmos despreparados“, disse ele. “Concordar em pagar uma demanda de resgate não é propício para a segurança a longo prazo e encoraja os criminosos cibernéticos a continuarem usando esse método. Há também o risco de parecer um alvo fácil, potencialmente convidando a novos ataques”.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Segurança da Informação – O que é um Endpoint e por que ele é importante para a sua empresa?
- 3 razões pelas quais a sua empresa deve investir em segurança da informação.
- Segurança da Informação – Bug de “Authentication Bypass” atinge as principais VPNs corporativas.
- Segurança da Informação – Quase todos os ataques cibernéticos visam à cadeia de suprimentos.
- Segurança da Informação – Ataques de ransomware se tornam mais difusos, destrutivos e caros.