Um dos maiores pesadelos organizacionais, hoje, é ser atacado por um ransomware. Pior do que isso é não conseguir se recuperar de um ataque desse tipo.

Neste artigo, vamos analisar o segundo ataque de ransomware em um ano na cidade de Baltimore e o que as organizações podem aprender com esse “case” para serem as próximas vítimas. 

A cidade de Baltimore

Baltimore fica no estado de Maryland nos Estados Unidos, e se juntou a Greenville e outras cidades americanas que tiveram seus sistemas indisponíveis por conta de um ransomware nos últimos meses.

Ransomwares são malwares que realizam um “sequestro virtual”. Após infectar uma máquina através de links em e-mail, download de arquivos e outros meios, o objetivo desse malware é criptografar os dados dos sistemas infectados, solicitando uma quantia para que sejam resgatados.

Em março de 2018, o sistema telefônico da polícia e dos bombeiros da cidade foi afetado por um ransomware por conta de uma má configuração acidental no firewall.

RobbinHood: o sequestrador dos dados da cidade de Baltimore

Em maio deste ano, a cidade de Baltimore voltou a ser vítima desse tipo de malware. Pela falta de um sistema de monitoramento 24/7 de segurança, o incidente levou horas para ser identificado.

Pagamentos de contas de serviço, como as contas de água, não poderiam ser feitos através de cartões de crédito; o departamento de obras públicas ficou sem rede; o servidor de e-mail da prefeitura ficou indisponível e outros serviços foram prejudicados por conta de uma variante do ransomware “RobbinHood”.

O “RobbinHood” – tipo de ransomware que também afetou cidades da Carolina do Norte – solicitava o pagamento de 3 bitcoins ($17,600 – preço da época) por computador ou 13 bitcoins ($76,280) para libertar todos os dados da cidade.

A nota do ransomware também alertava que o pagamento deveria ser feito em quatro dias ou o preço aumentaria, além de advertir que o uso de antivírus causariam danos aos dados da cidade.

Estamos observando vocês há dias e estamos trabalhando em seu sistema para ganhar total acesso à sua organização e desviar todas as suas proteções, então, não peça por mais tempo ou algo assim. Nós não vamos falar mais, tudo que entendemos é DINHEIRO! Vamos logo! Tik Tak, Tik Tak, Tik Tak! (DUNCAN; CAMPBELL, 2019)

Na época, o prefeito Bernard C. “Jack” Young declarou que a cidade não pagaria o ransomware e não aceitaria nenhum tipo de suborno.

Em agosto, a cidade votou em transferir $6 milhões do fundo de recreação de Baltimore para ajudar a pagar investimentos para tornar o sistema mais seguro. Entretanto, estima-se que o custo do ataque seja de no mínimo $18.2 milhões.

Frank Johnson – CIO da cidade – foi criticado por sua liderança em meio à crise em maio. Ex-top salesman da Intel, no período de recuperação do ataque, declarou que tinha uma estratégia de recuperação, porém o representante do prefeito divulgou que não existia nenhum plano desenvolvido, mesmo que o prefeito Jack houvesse solicitado um.

Falta de transparência e comunicação também foram apontadas por autoridades locais em questão da liderança de Johnson.

Em setembro, foi realizada uma auditoria nos computadores da cidade que conclui que não seria possível recuperar os dados perdidos, pois estes estavam sendo armazenados localmente em cada HD, e nenhum deles salvos em nuvem ou era realizada alguma forma de backup.

Não somente os dados foram perdidos, mas a documentação sobre planos de recuperação de desastre e de instalações de patches de segurança, devido a isso, não se pode ter certeza se a cidade de fato tinha tais processos.

Por fim, a prefeitura estuda agora contratar um serviço de seguros cibernéticos para evitar ataques futuros.

E as lições aprendidas?

Mesmo que ainda não exista uma fórmula mágica para evitar ataques de ransomware, o caso de Baltimore nos traz algumas lições para serem refletidas:

1 – Tenha SEMPRE um backup

O ponto mais assustador de todo esse episódio se dá pelo fato de a cidade não ter um backup disponível para recuperar seus dados perdidos; e os funcionários da prefeitura não serem instruídos a armazenarem cópias de dados importantes.

Uma empresa de serviço de ambulância inglesa é um case de sucesso envolvendo backup e ransomware, após ser infectada por um desses malwares, a empresa voltou suas operações normais em menos de 30 minutos, pois restauraram todas as suas informações a partir de seu backup.

Talvez no momento, o custo de backup pode parecer muito grande para sua organização, mas nunca será maior do que o de recuperar os dados caso esses sejam perdidos.

Tenha sempre um backup, seja em um segundo servidor ou em nuvem.

2 – NUNCA pague o resgate, exceto se…

Não é recomendado que se pague o resgate de ransomware, jamais, do contrário, essa atitude pode incentivar a prática criminosa a crescer, assim o crime acabará compensando.

No caso de Baltimore, que não tinha um backup, a única esperança de recuperar os dados seria pagar pelo resgate, mesmo sem garantia de que o acesso seria devolvido.

A melhor solução é “Nunca pague o resgate e tenha sempre um backup”.

3 – Tenha um líder preparado

Não se sabe ao certo o nível de conhecimento técnico e em “Segurança da Informação” que o CIO Johnson possuía, mas levando em consideração que é um ex-colaborador da Intel, porém da área de vendas, traz certa desconfiança em sua experiência técnica.

Mesmo após ter presenciado um ataque anterior em sua gestão, o departamento de TI da cidade ainda não havia criado um plano a ser seguido em meio às crises cibernéticas, e muito menos adotado a prática de ter um backup.

É necessário que a organização tenha alguém que entenda não só a gravidade da situação, mas consiga de alguma forma enxergar e exercer estratégias que consigam trazer as atividades para o ritmo normal, com uma visão gerencial, mas principalmente técnica.

4 – Ter um plano de contingência

Para qualquer tipo de incidente deve-se ter um plano de tratamento. Os planos de tratamento evitam que a situação saia do controle em meio a uma crise, e ajuda os colaboradores a saberem o que fazer para que ocorra o mínimo de dano possível.

Este tipo de plano, normalmente, descreve passo a passo como realizar a recuperação mais rápida possível do sistema.

Baltimore demorou semanas a conseguir voltar a utilizar seus sistemas, além de ter perdido definitivamente inúmeros dados. Isso teria sido evitado com um plano de contingência bem elaborado.

5 – Considerar Serviço de Seguros Cibernéticos se realmente for necessário

Talvez, contratar um seguro cibernético não seja ideal para todos os casos e empresas, é uma decisão a ser avaliada, pois, muitas vezes, o custo do uso desses serviços pode ultrapassar em muito o custo de ações que poderiam ser tomadas pela própria organização. Entretanto, existem cenários em que este tipo de empresa é de grande ajuda, porém deve-se ponderar se de fato essas empresas são confiáveis, já que algumas foram investigadas por remover ransomware, e pagando o resgate sem o conhecimento da vítima.

6 – Tenha uma solução que monitore acessos

A cidade não possuía um monitoramento de rede, o que facilitou para que o ransomware se espalhasse facilmente pelas estações de trabalho até ser notado.

Segundo a nota do próprio “RobbinHood”, o malware estava no sistema por dias encontrando meios de ganhar acesso total à rede até sequestrar todos os dados.

Se houvesse um sistema capaz de monitorar os acessos suspeitos e abuso de privilégios, talvez o ransomware tivesse sido identificado mais cedo e sua disseminação bloqueada.

Vitali Kremez, pesquisador que estudou o “RobbinHood”, declarou que esse tipo de ransomware é novo e passa despercebido por ferramentas de antivírus, e o atacante se apoia no acesso irrestrito para espalhar o malware.

Serviços e estações de trabalho não teriam sido afetados se o acesso para cada um fosse diferente, restrito e monitorado.

O senhasegura é uma solução de PAM que ajuda a controlar os acessos a estações e credenciais críticas do sistema.

Além de detectar e alertar sobre acessos suspeitos, também cria restrições de abuso que podem evitar que malware que infectou uma estação consiga acesso a outras estações da mesma rede.

Os ransomwares podem custar milhões para empresas, como foi o caso de Baltimore, assim é necessário que essas lições aprendidas sejam consideradas e colocadas em prática conforme a realidade da organização.

Se a sua organização já considera essas lições aprendidas, mas ainda não possui uma solução para monitorar os acessos de seu sistema, solicite uma demonstração do senhasegura e descubra como podemos ajudar a evitar que malwares controlem credenciais e estações críticas da sua rede.