POR Mathias Ortmann em 24 de maio de 2021
Ransomware ataca uma crescente segurança global e ameaça financeira
Gerry Glombicki, da Fitch Ratings, diz que o volume, o tamanho e a sofisticação dos ataques de ransomware devem aumentar, já que o risco de processo criminal permanece baixo e os incentivos aos lucros continuam altos.
Qualquer pessoa em uma posição de responsabilidade em uma organização moderna deve compreender esse risco e como um ataque devastador pode ser evitado.
Os ciberataques no Waikato DHB e no Colonial Pipeline nos Estados Unidos mostram a crescente ameaça que o ransomware representa para empresas e outras organizações.
Chefe da Colonial Pipeline confirma pagamento de resgate de $ 4,4 milhões
Ataque cibernético de ransomware forçou o fechamento do maior duto de combustível dos EUA
Ransomware é uma forma particularmente desagradável de malware.
Normalmente, as vítimas são induzidas a clicar em um link em um e-mail ou em um site que baixa o ransomware em seus computadores.
Uma vez a bordo, ele se espalha para outros computadores na rede e, em seguida, criptografa todos os dados neles, tornando-os ilegíveis.
Em alguns casos, além disso, ele também o copia de volta para os invasores.
A organização vítima é então informada de que deve pagar aos invasores para descriptografar seus dados e evitar que sejam publicados.
Muitas empresas acabam pagando. O ataque de ransomware Colonial Pipeline, que fechou o gasoduto que fornecia metade do combustível para a costa leste dos Estados Unidos, resultou no pagamento de US $ 4,4 milhões (NZ $ 6,14 milhões) pela empresa do gasoduto em Bitcoin.
Ataque cibernético atinge o Hospital Waikato e paciente de emergência é enviado para outro lugar.
A organização vítima é então informada de que deve pagar aos invasores para descriptografar seus dados e evitar que sejam publicados.
Esses ataques estão aumentando, alimentados por “sucessos” como o Colonial Pipeline, mas, em última análise, não terão sucesso se forem tomadas precauções.
Como diz a velha lenda sobre vampiros, eles só podem entrar se você os convida
Então, o que você pode fazer para proteger sua organização?
O primeiro passo é educar a equipe sobre os princípios básicos de comportamento seguro online, não visitando sites suspeitos, nem abrindo e-mails suspeitos.
Por mais que desejemos que os funcionários nunca cometam erros e cliquem em links de malware, isso acontecerá.
A infraestrutura de TI de uma organização deve ser o mais robusta possível contra erros de usuários internos.
A execução de malware em uma estação de trabalho do usuário não pode derrubar toda a rede.
As organizações precisam estruturar suas redes de forma a limitar o impacto de um ataque originado de uma estação de trabalho interna.
O “princípio do menor privilégio” diz que você só deve dar a cada usuário / estação de trabalho os privilégios de acesso que suas funções exigem, e não mais.
O princípio do menor privilégio evita que o erro se espalhe por toda a organização, embora não impeça a exfiltração ou criptografia de informações confidenciais que o usuário precisa acessar para seu trabalho.
Fazer backup para armazenamento externo em nuvem com controle de versão habilitado significa que, após o ransomware, todos os arquivos embaralhados podem ser restaurados da última versão mantida na nuvem.
Um cenário de TI seguro é o resultado de um processo contínuo, não de uma conquista única e persistente.
Só porque um pedaço de ransomware entra em um sistema de computador não significa que pode se espalhar com sucesso na rede, ele precisa explorar uma vulnerabilidade no software do sistema que permite que ele controle outros computadores quando não deveria.
Os ataques de ransomware geralmente são projetados para explorar vulnerabilidades que já são conhecidas e discutidas publicamente.
As empresas de software respeitáveis movem-se rapidamente para projetar patches para bloquear essas vulnerabilidades assim que forem descobertas.
As organizações precisam implantar patches de segurança rapidamente quando estiverem disponíveis para permanecer resilientes. Por exemplo, uma aquisição generalizada como a observada no Waikato DHB poderia ter sido facilitada por uma vulnerabilidade no estilo Windows Zerologon.
Embora a Microsoft tenha lançado um patch para esse problema em agosto do ano passado, antes de ser descoberto publicamente, ele ainda está sendo usado por ataques de ransomware em computadores que não foram atualizados com a proteção do patch.
Os atacantes de ransomware se adaptam rapidamente, usando as vulnerabilidades mais recentemente descobertas, enquanto os sistemas de TI costumam ser lentos para adotar patches, muitas vezes levando meses para implementá-los. Essa lacuna deixa as organizações em risco.
Não sabemos como o ransomware Waikato DHB entrou no sistema ou se as vulnerabilidades que ele explorou já eram conhecidas com os patches disponíveis, mas, claramente, houve falhas na segurança online da equipe e nas precauções de design de rede.
Existem economias de escala na administração e segurança do sistema de computador. Pode ser difícil para organizações menores manter uma equipe de segurança de TI qualificada e é possível que a fragmentação do sistema de TI de saúde em 20 DHBs tenha levado a 20 sistemas subfinanciados com maior risco de ataque do que seria o caso em um único sistema nacional com recursos adequados.
DHBs pelo Health New Zealand
Com todos os sistemas inativos no Hospital Waikato na terça-feira, Samantha Catterall não pôde ser atendida no pronto-socorro e foi forçada a ir para outro lugar para tratamento. Sobre o caso assista o vídeo que foi publicado pela primeira vez em 18 de maio.
Esta será uma questão importante para o governo abordar quando substituir os DHBs pelo Health New Zealand.
Os ataques de ransomware são bem-sucedidos quando uma combinação de falhas ocorre em conjunto:
- A equipe não toma precauções e faz o download acidental de ransomware
- A rede de computadores permite que o ransomware se espalhe por toda a organização
- O sistema não está atualizado com suas proteções contra os pontos fracos que o ransomware usa
O ransomware é uma ameaça crescente, mas depende de falhas organizacionais
Quando as organizações tomam medidas para reduzir ou eliminar as condições que um ataque de ransomware precisa para funcionar, elas podem proteger a si mesmas e a seus dados com eficácia.
Mathias Ortmann é um veterano em segurança de TI e cofundador do serviço de armazenamento em nuvem da Nova Zelândia, MEGA.
Se você achou esta história informativa, por favor, considere apoiar Stuff. Faça uma contribuição ao site STUFF.
5 etapas principais para treinar funcionários para a segurança cibernética
Ataque cibernético de ransomware forçou o fechamento do maior duto de combustível dos EUA