5 lições que aprendemos com o nosso ataque de ransomware
Está bem documentado que os ataques de ransomware estão a aumentar, e podem ter consequências graves que afetam todas as partes de um negócio, incluindo clientes, operações, marca e inclusivamente os conselhos de administração.
No âmbito das minhas funções na DXC Technology, supervisiono o nosso negócio de segurança e lido frequentemente com ataques aos nossos clientes. Mas no sábado, 4 de julho de 2020, ao sair do carro para dar início às férias com a minha família, a empresa tornou-se o alvo de um ataque de ransomware.
O incidente envolveu a Xchanging, uma subsidiária com sede no Reino Unido, que fornece serviços comerciais de tecnologia ao setor de seguros comerciais. O atacante enviou uma imagem frequentemente utilizada, de um conhecido personagem de desenhos animados a fazer um gesto obsceno com a mão e com a seguinte mensagem: "Temos os vossos dados. Encriptámos os vossos ficheiros. Se quiserem negociar, podemos falar numa ferramenta segura ou numa sessão de chat".
Embora a rede utilizada pela Xchanging estivesse segregada do ambiente informático muito maior da DXC, ainda assim estávamos preocupados com a hipótese de o incidente ter impactos operacionais para os clientes da Xchanging quando os escritórios de seguros de Londres abrissem na segunda-feira.
O tempo é essencial num ataque de ransomware, pois um dos impactos reais é o tempo de paragem. De acordo com a Emsisoft, o ataque médio coloca os sistemas em baixo durante 16 dias, o que permite prever que os custos globais do ransomware possam atingir 170 mil milhões de dólares em todo o mundo, em 2020.
No caso da Xchanging, o hacker tinha obtido o acesso inicial apenas dois dias antes. Apenas foram acedidos meia dúzia de sistemas e fomos capazes de isolar e neutralizar rapidamente a ameaça. Não foram roubados dados e não pagámos o resgate. Contactámos imediatamente os nossos clientes e as autoridades.
O tempo é essencial num ataque de ransomware, pois um dos impactos reais é o tempo de paragem.
No domingo, 5 de julho, limpámos e restaurámos o ambiente afetado. Na segundafeira de manhã, a Xchanging conseguiu processar apólices de seguro.
Sugestões para permanecer seguro
A investigação criminal está em curso e estamos a aproveitar todas as oportunidades para rever os nossos controlos e procedimentos. Quase tudo funcionou conforme planeado. Mas este, infelizmente, não é o caso de muitas organizações.
Analisámos o que correu bem, o que não correu e o que podemos fazer melhor.
Aqui ficam cinco medidas principais:
Conheça a sua infraestrutura. Concentre-se na higiene básica do software e certifique-se de que todas as redes e firewalls possuem instrumentos de segurança empresarial implementados, para detetar comportamentos maliciosos. Os atacantes começaram por utilizar uma ferramenta de teste de segurança publicamente disponível, designada por "grayware". O grayware não é malicioso por direito próprio, mas, neste caso, foi utilizado para criar um backdoor para explorar o Microsoft Windows e implementar uma nova variante de encriptação malware. Embora não tivéssemos impedido o ataque, fomos alertados de que algo não estava bem e fomos capazes de identificar rapidamente onde a rede estava comprometida, enquanto o ataque estava em curso.
Envolva os superiores hierárquicos seniores desde o início. A nossa equipa de crise global reuniu-se para avaliar a situação, o que foi fundamental para nós, pois envolvemos diretamente os superiores hierárquicos seniores e permitimos que as decisões críticas pudessem ser tomadas rapidamente. Por exemplo, precisávamos de desligar o acesso remoto, por isso tomei a decisão de cortar toda a conectividade aos sistemas de Xchanging.
As autoridades desaconselham vivamente o pagamento de resgates. De facto, os Estados Unidos e o Reino Unido estão a avançar para a aplicação de sanções civis e até penais para a realização de pagamentos de resgate.
Embora isto pareça fácil, exigiu uma ação urgente da parte das nossas equipas de TI, tanto no Reino Unido como na Índia, e o envolvimento dos superiores hierárquicos dessas equipas permitiu que o encerramento acontecesse de forma rápida e eficiente. Ao longo do processo de resposta, estiveram envolvidos membros da nossa equipa de liderança — incluindo o nosso CEO, Mike Salvino — na avaliação da situação e na tomada de decisões chave. A boa governação é crucial nestas alturas. Se lhe faltar responsabilidade ou clareza sobre quem está a fazer o quê, está a desperdiçar minutos preciosos, que os atacantes irão explorar.
Envolva cedo as autoridades e os peritos. As autoridades policiais e os peritos em segurança podem fornecer informações valiosas sobre como combater um ataque e permitir uma intervenção legal rápida. Por exemplo, o ransomware foi definido para enviar dados da Xchanging para domínios de Web sites nos Estados Unidos, por isso contactei agentes da autoridade a trabalharem durante o fim de semana prolongado. Nessa noite, obtivemos uma ordem judicial para assumir o controlo dos domínios de Internet dos atacantes.
Coloque-se o máximo possível numa posição vantajosa — e não pague.As autoridades desaconselham vivamente o pagamento de resgates. De facto, os Estados Unidos e o Reino Unido estão a avançar para a aplicação de sanções civis e até penais para a realização de pagamentos de resgate. No nosso caso, os atacantes não pediram dinheiro de imediato. Queriam negociar. Sabíamos que tínhamos cortado o ataque, sabíamos que eles não tinham os nossos dados e sabíamos que tínhamos cópias de segurança. Estávamos numa posição forte, pelo que não precisámos de negociar. Se optar por negociar com cibercriminosos, não o faça sem apoio. Encontre e mantenha um agente de resgate experiente — de preferência como parte da sua preparação de resposta ao incidente, antes de ter sido atacado.
Seja transparente. Não é necessário revelar todos os factos, mas a abertura é geralmente uma boa prática. Partilhámos os indicadores de compromisso (IDC) do atacante com centenas de clientes. Embora possa haver certamente informações que não pode divulgar (por exemplo, quando sujeito a restrições de confidencialidade do cliente ou conforme as instruções das autoridades policiais), partilhar informações quando o pode fazer não só ajuda a manter terceiros em segurança, como também pode ajudá-lo a recrutar a ajuda de um grande número de colegas, autoridades e da comunidade de segurança. Emitimos um comunicado à imprensa no domingo, 5 de julho, para sensibilizar os mercados públicos e apresentámos outro comunicado, algumas semanas mais tarde, para confirmar a contenção.
Os agentes da autoridade com quem falei nesse fim de semana ficaram surpreendidos por o nosso ataque já estar contido. A maioria das chamadas que recebem são do CEO, porque as equipas de TI e segurança estão freneticamente ocupadas e a empresa encontra-se normalmente no seu terceiro ou quarto dia de encerramento, sem fim previsível.
Sabemos que o nosso ataque de 4 de julho poderia ter sido muito pior. Uma combinação de resposta rápida a incidentes, controlos de segurança e governação e a utilização de ferramentas técnicas e práticas industriais proporcionou-nos uma vantagem.
A "nova DXC" mostrou-se forte para enfrentar o desafio e manter os nossos clientes sempre no topo da lista de prioridades.
E foi assim que passei as minhas férias de verão.
Fique a par das mais recentes ameaças. Subscreva o Relatório de Inteligência sobre Ameaças à Segurança da DXC em www.dxc.technology/threats_HBR.
Sobre o autor
Mark Hughes é vice-presidente sénior de ofertas e parceiros estratégicos da DXC Technology, responsável pela organização e ofertas de segurança global da DXC, incluindo defesa cibernética, infraestrutura segura, identidade digital e proteção de dados. Anteriormente, foi diretor executivo da BT Security.