Penalidade tripla: extorsão por ransomware, perda de dados, multas

17. Junho 2022
| Sem comentários
Penalidade tripla: extorsão por ransomware, perda de dados, multas

Compartilhar postagem

As empresas negligentes são rapidamente punidas três vezes: primeiro a extorsão por ransomware, depois a perda de dados e, por último, mas não menos importante, a multa por um plano de recuperação ruim. É assim que um ransomware complexo pode invadir os recursos da empresa.

No ano passado, o ransomware derrubou uma empresa norte-americana que produz combustível. Por trás disso estavam "empresas parceiras" criminosas do notório grupo DarkSide. Um exemplo típico de ataque RaaS (ransomware como serviço): uma pequena equipe principal de criminosos desenvolve malware, disponibiliza-o para outros criminosos e lida com os resgates das vítimas. No entanto, eles não realizam o ataque real na rede que distribui o malware. Seus "parceiros no crime" cuidam disso, por assim dizer, o pessoal de campo. Via de regra, em troca recebem a maior parte do dinheiro extorquido das vítimas.

RaaS: Parceiros no crime com ransomware

O grupo principal, enquanto isso, espreita invisivelmente em segundo plano, administrando uma espécie de operação de franquia em que normalmente embolsam 30% (como eles mesmos admitem) de cada pagamento.

A equipe da linha de frente geralmente faz isso

  • Realize pesquisas para encontrar alvos em potencial para invadir.
  • Invada empresas selecionadas com vulnerabilidades conhecidas.
  • Examine a rede até obter direitos administrativos para chegar ao nível de administradores oficiais.
  • Mapeie toda a rede para localizar cada PC de mesa individual e os sistemas de servidor.
  • Localize e neutralize com frequência os backups existentes.
  • Exfiltrar dados confidenciais da empresa para alavancagem extra na chantagem.
  • Prepare backdoors de rede para uma retirada rápida se os invasores forem pegos.
  • Examine cuidadosamente as defesas de malware existentes, procurando por pontos fracos ou vulneráveis.
  • Desligue ou pelo menos reduza as configurações de segurança que atrapalham.
  • Seleção de uma hora do dia particularmente "desconfortável" para a empresa, ou seja, no fim de semana ou à noite.

E então os cibercriminosos liberam o código do ransomware fornecido pelo mentor nos bastidores. A criptografia de (quase) todos os computadores da rede leva apenas alguns minutos.

Ransomware: Por favor, finalize a compra!

A ideia por trás desse tipo de ataque é que os computadores não sejam completamente apagados. Na verdade, após a maioria dos ataques de ransomware, os sistemas operacionais continuam inicializando e carregando os aplicativos principais nos computadores para manter a aparência de que tudo está normal.

A vítima pode inicializar seu laptop, carregar o Word, ver todos os documentos nos diretórios, até mesmo tentar abri-los, mas verá o equivalente digital de um repolho picado. Os dados são criptografados e há apenas uma cópia da chave de descriptografia – e os invasores a possuem. É quando geralmente começam as “negociações”. Os criminosos contam com o fato de que a infraestrutura de TI da vítima é tão afetada pelos dados criptografados que não é mais funcional e, portanto, a vítima está disposta a pagar um resgate.

“Pague-nos uma 'taxa de recuperação' e forneceremos a você as ferramentas de descriptografia para tornar qualquer computador utilizável novamente - e economizaremos o tempo necessário para restaurar a partir de backups. Contanto que você tenha backups funcionando.” As demandas soam mais ou menos assim, pois chegaram à empresa americana cerca de 12 meses atrás, por exemplo.

Apenas 4 por cento dos pagadores recuperam todos os dados!

Embora as agências de aplicação da lei em todo o mundo estejam alertando as vítimas de ransomware para não pagarem (e agora sabemos que os pagamentos de ransomware de hoje financiam os ataques de ransomware de amanhã), neste exemplo, a empresa decidiu gastar os cerca de US$ 4,4 milhões solicitados para transferir bitcoins.

Esses anos Relatório Sophos Ransomware Estado do Ransomware 2022 revela que apenas 4% dos pagadores em todo o mundo recuperam todos os dados. Em média, você obtém apenas dois terços (exatamente: 60,56%). Na Alemanha, a proporção é de 64%. Do ponto de vista global, esse valor é apenas um pouco maior para as empresas de fornecimento de energia em 62% (exatamente: 61,59%). Isso significa que, se uma empresa pagar o resgate, ainda terá que aceitar perdas de dados muito altas. De forma alguma o caso termina aí.

Depois do resgate veio a multa

Sophos State of Ransomware 2022 (Imagem: Sophos).

Também foi feito um apelo oficial ao operador do oleoduto: o Departamento de Transportes dos EUA impôs uma multa civil de quase 1 milhão de dólares americanos à empresa, resultado de uma investigação da Administração de Segurança de Oleodutos e Materiais Perigosos (PHMSA). A verificação ocorreu entre janeiro e novembro de 2020, ou seja, no ano ANTES do ataque do ransomware. Então os problemas que o instituto identificou existiam e eram conhecidos. A PHMSA afirmou que as principais deficiências operacionais responsáveis ​​por mais de 85 por cento da carga ($ 846,300) "são uma provável falha em planejar e preparar adequadamente o desligamento manual e a reinicialização de seu sistema de dutos". E ela afirma que essas omissões "contribuíram para as consequências nacionais quando o oleoduto permaneceu inoperante após o ataque cibernético de maio de 2021".

Caso individual ou curso de ação recomendado para todos?

À primeira vista, isso soa como um caso incomum, porque quem realmente opera um pipeline, e também nesta dimensão. No entanto, o aviso oficial da PHMSA sobre uma violação provável identifica alguns problemas relacionados para que todos aprendam:

Para a operadora de dutos, os problemas estão em áreas internas da empresa, como controle de supervisão e aquisição de dados, sistemas de controle industrial e tecnologia operacional, o chamado SCADA (Supervisory Control and Data Acquisition): sistema de computador que monitora e controla automaticamente processos técnicos e de fornecedores de energia para uso em aeroportos. ICS (um acrônimo para Industrial Control Systems) e OT (Operational Technology) também estavam ausentes. OT pode ser entendido como uma contraparte industrial de TI, mas os SecOps (Security Operations) são um desafio semelhante para ambos os tipos.

Consequências dos erros de SecOps

Mesmo que a tecnologia operacional e as funções de TI pareçam duas redes separadas, as possíveis consequências de falhas de SecOps em uma área podem afetar direta e até perigosamente a outra área.

Mais importante ainda, especialmente para muitas empresas menores, mesmo que não haja pipeline, rede elétrica ou usina em operação, provavelmente ainda há algum tipo de rede de engenharia operacional em operação, composta de dispositivos IoT como câmeras de segurança, fechaduras de portas, movimento sensores e talvez até um aquário controlado por computador na área da recepção.

E estes geralmente são operados na mesma rede em que todo o sistema de TI está localizado. As medidas de segurança cibernética de ambos os tipos de dispositivos estão, portanto, inextricavelmente interligadas.

Cinco pontos que toda empresa deve levar a sério

O relatório da PHMSA lista problemas que se enquadram no termo genérico gerenciamento de sala de controle, que pode ser pensado como a tecnologia operacional equivalente ao centro de operações de rede de um departamento de TI (ou simplesmente "a equipe de TI" em uma pequena empresa).

Em resumo, esses cinco problemas estão em jogo

  • Falha em manter um registro adequado dos testes operacionais aprovados.
  • Falha em testar e verificar o funcionamento dos detectores de alarme e anomalia.
  • Sem plano de contingência para recuperação manual e operação em caso de falha do sistema.
  • Falha ao testar processos e procedimentos de backup.
  • Relatórios insatisfatórios de controles de segurança ausentes ou temporariamente suprimidos.

O que podemos aprender com isso para nossa segurança de TI?

Qualquer uma das omissões acima pode ocorrer acidentalmente. De acordo com o Sophos Ransomware Report 2022, dois terços (exatamente: 66%) dos entrevistados disseram ter sido vítimas de um ataque de ransomware no ano passado. O setor de fornecimento de energia ficou bem acima da média em 75%. Cerca de dois terços deles tiveram seus dados criptografados e metade deles negociados com os criminosos.

Isso sugere que uma proporção significativa (pouco mais de uma em cinco) das equipes de TI ou SecOps perdeu o controle de uma ou mais das categorias acima.

Isso inclui os itens 1 e 2 (Tem certeza de que o backup realmente funcionou? Você registrou isso formalmente?), Item 3 (Qual é o seu plano B se os criminosos excluírem seu backup principal?), Item 4 (Você praticou a restauração tão cuidadosa como você praticou backup?) e ponto 5 (Tem certeza que não perdeu nada que deveria ter apontado na hora?).

Para muitas equipes de TI ou especialmente para empresas menores que fazem TI "à parte", uma equipe SecOps especializada é um luxo e simplesmente não é acessível, de modo que a estratégia muitas vezes equivale a um princípio de "instalar e depois esquecer". Qualquer pessoa nessa situação deve buscar o apoio de especialistas MTR externos e vê-los como um investimento em um futuro mais seguro.

A segurança cibernética é um processo, não um destino. Um ataque bem-sucedido sempre deixa danos e tem efeitos posteriores nos recursos e na operacionalidade. A força do impacto depende muito da velocidade da reação, das precauções e do processo de segurança em vigor.

Mais em Sophos.com

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

Sophos, Stories
, , , , ,