Ransomware, resposta e recuperação

Por Executive Digest

Porquê o ransomware? Segundo Christopher Krebs, antigo director da Agência de Cibersegurança e Segurança de Infra-estruturas (CISA, na sigla em inglês): «É preciso começar com o que realmente importa e depois trabalhar a partir daí. Portanto, nessa perspectiva, o ransomware é a maior ameaça.»

Os impactos variam, mas, em muitos casos, os ransomwares perturbam as organizações durante períodos significativos – chegando até mesmo a obrigá-las a suspender as operações ou a encerrá-las.

Uma população crescente de extorsionistas cibernéticos altamente capazes está a desenvolver um novo meio para contrariar as defesas e aumentar o nível de disrupção que podem infligir, constantemente. As ameaças são generalizadas; estendem-se a várias indústrias e ao sector público/privado, afectando tanto as grandes como as pequenas empresas.

Os líderes de segurança têm de compreender e combater novos desafios de ransomware, reforçar as defesas entre pessoas, processos e tecnologias e demonstrar porque é que a segurança é fundamental para a estratégia empresarial.

Em suma, os líderes de segurança têm de ajudar as suas organizações a conseguirem ganhar resiliência contra o ransomware – o mais rápido possível.

O QUE É O RANSOMWARE?

O ransomware pode criar uma crise de risco empresarial sistémico e de confiança nos seus consumidores.

Os impactos normais nos negócios envolvem:

  • Disrupção na produção, entrega, ou serviços ao cliente;
  • Perda de dados comerciais sensíveis, ou de informação protegida;
  • Custos directos de reparação, recuperação, ou possível pagamento do resgate;
  • Custos associados a litígios, frequentemente processos de acção colectiva;
  • Sanções legais e regulamentares;
  • Danos reputacionais.

Tópicos importantes

Aqui ficam as cinco principais variantes de ransomware de acordo com os dados de ameaças enfrentadas pela Accenture Security Cyber Investigations & Forensic Response (CIFR):

Top cinco 2020:

1. Maze;
2. Sodinokibi;
3. Ryuk
4. Netwalker;
5. DoppelPaymer.

Top cinco primeiro trimestre de 2021:

1. DoppelPaymer;
2. Sodinokibi;
3. Hades;
4. Ryuk;
5. Conti.

DESAFIO #1

Os extorsionistas bem-sucedidos que usam o ransomware estão a intensificar os ataques.

Os operadores de ransomware estabelecidos estão a aumentar a parada à medida que continuam a concentrar-se em novas oportunidades de ganhar dinheiro e não vêem limites para os possíveis lucros.

Ao mesmo tempo, os entraves ao acesso são mínimos; ferramentas e operações de apoio ao ransomware estão disponíveis em vários mercados e redes de afiliados.

A par das oportunidades apresentadas pela pandemia, a população de extorsionistas está a crescer à medida que novos cibercriminosos são atraídos para as operações de risco baixo/recompensa alta.

Para planear a resiliência, as organizações devem concentrar- se nos riscos empresariais e operacionais apresentados pela ameaça através da sua cadeia de valor única – e dar prioridade aos esforços de planeamento e defesa.

A equipa da Accenture CIFR observou um aumento anual de 160% nos eventos de ransomware em 2020 – com poucos sinais de qualquer abrandamento no início de 2021

DESAFIO #2

Os operadores de ransomware estão constantemente a melhorar a sua capacidade de causar disrupção.

Os extorsionistas cibernéticos são incentivados a desenvolver formas de trabalho cada vez mais disruptivas. Quanto mais disrupção puderem infligir, maior será o resgate que podem exigir.

Os operadores continuam a inovar, primeiro utilizando o ransomware de forma direccionada, contra bens estratégicos, depois combinando-o com a extorsão de fugas de dados. Agora, há indícios de que certos operadores estão a aumentar a sua capacidade de interferir com processos de tecnologia operacional (OT) e a ajustar outros meios de pressionar pagamentos, incluindo a sobreposição de ataques distribuídos de negação de serviço com encriptação e fuga de dados.

A comodificação das competências e serviços necessários – desde os agentes de acesso inicial e especialistas em intrusão até modelos de ransomware como serviço com parceiros e afiliados e negociadores intermediários especializados – permite e recompensa o desenvolvimento de técnicas novas e mais disruptivas.

Em Dezembro de 2020, os extorcionistas atacaram uma das maiores fabricantes mundiais, reclamaram a encriptação de 1200 servidores, realizaram o roubo de 100GB de dados, apagaram 20 a 30TB de cópias de segurança e exigiram um resgate de 29 milhões de euros .

Mas, através de ransomware, trabalhado a partir de um recibo da retalhista, foi possível perceber e bloquear a sua abordagem de confronto.

DESAFIO #3

As estratégias de crescimento empresarial e de serviços carecem de resiliência.

O tempo de inactividade do serviço por causa de um ransomware ainda está a crescer. Segundo a Coveware, as empresas passaram em média 23 dias de inactividade no primeiro trimestre de 2021, contra 21 dias no quarto trimestre de 2020. O tempo de inactividade variou entre a paragem e a indisponibilidade.

A encriptação pode negar o acesso e interromper recursos básicos e vitais, incluindo comunicações e plataformas internas e de clientes, bem como sistemas operacionais ou de produção. Longos períodos de inactividade podem afectar dezenas de milhões de pessoas. O roubo e publicação de dados dão aos atacantes novas oportunidades de extorsão – como o risco de sanções regulamentares se a informação protegida ficar disponível online.

As exigências de ransomware estão a crescer e a tornar-se mais personalizadas – com os agentes de ameaça a avaliar quem tem mais probabilidades de pagar. Se os resgates forem pagos, pode abrir a porta a mais criminalidade. Além disso, alguns operadores de ransomware foram sancionados, colocando potencialmente uma vítima que paga o resgate em maior perigo legal.

A equipa da Accenture CIFR observou pedidos de resgate que foram de 85 mil euros até 43 milhões de euros em 2020.

Em Agosto de 2020, uma importante empresa de câmbios declarou falência e perdeu mais de 1300 colaboradores. Os administradores declararam que um ataque de ransomware tinha causado um mês de disrupção e, por vezes, o pessoal não podia utilizar computadores para controlar o comércio cambial. O ataque também perturbou os serviços online de dinheiro para viagens dos principais clientes mundiais.

O RANSOMWARE ESTÁ A EVOLUIR

Os operadores estabelecidos aumentam o alcance e os lucros com novas colaborações

Um modelo de ransomware como serviço tem sido transformador para os extorsionistas. Os proprietários de estirpes de malware altamente eficazes e amplamente disseminadas, anteriormente conhecidos como “trojans bancários”, estão a trabalhar com especialistas em intrusão para atacar e extorquir o maior número possível de vítimas.

Os operadores de “trojans”de resgate movem-se de forma rápida e frequentemente

Muitas vezes, os operadores exfiltraram dados sensíveis e encriptaram bens críticos em poucas horas após uma infecção inicial. Além disso, algumas empresas são mais frequentemente alvo de dois ataques seguidos de diferentes intervenientes.

Novas variantes e tácticas melhoradas desafiam as defesas

As ameaças vão para além das TI para novas tecnologias e plataformas – existem pelo menos sete variantes conhecidas com características concebidas para visar processos comuns do ambiente industrial. Os criminosos têm recursos para reinvestir e inovar, concebendo regularmente novas ferramentas e técnicas mais eficazes para aumentar a eficácia das suas operações.

As organizações sentem a pressão das estratégias de pagamento e das exigências regulamentares

Os operadores agressivos telefonam directamente às vítimas, por vezes combinando ataques de negação de serviço com tácticas de encriptação e divulgação. O governo federal dos EUA lançou um aviso recordando aos CISO que, ao financiarem o terrorismo ou ao financiarem organizações proibidas no pagamento de um resgate, estão a cometer uma infracção. Na Europa, o RGPD exige que qualquer potencial violação seja comunicada ao regulador no prazo de 72 horas – ou enfrentarão sanções.

O QUE FAZER AGORA?

A Accenture sugere, operar sob o pressuposto de que já houve uma falha na segurança e concentrar a atenção na resiliência ao longo da cadeia de valor.

Enfoque no básico

  • Manter a higiene de segurança de acordo com os padrões; manter os controlos e continuar a ajustar; assegurar a visibilidade e a protecção dos dados mais importantes.
  • Implementar uma estratégia holística de backup e recuperação com consciência situacional do actual panorama de ameaças.
  • Assegurar a existência de um plano de gestão de crises e de resposta a incidentes que esteja de acordo com o actual ambiente operacional direccionado para a pandemia.

Prevenir e proteger

  • Aumentar a confiança através da validação e testes contínuos das defesas.
  • Educar e testar os colaboradores frequentemente.
  • Assegurar visibilidade e cobertura adequadas em toda a superfície de ataque – utilização de ferramentas, controlos e telemetria para melhorar a postura de defesa através de prevenção, detecção e resposta ágil.

Conhecer as operações

  • Moldar a ameaça em comparação com as operações e a cadeia de valor.
  • Saber fazer backup e restaurar dados estratégicos com velocidade e escala em toda a cadeia de negócio para a continuidade das operações. Ser claro quanto a políticas e procedimentos – o manual de procedimentos de resposta é frequentemente a primeira coisa que os reguladores e litigantes pedem após uma falha na segurança. tornar a situação pessoal Os CISO não podem estar sozinhos. Colaborar e reunir com os fornecedores externos de serviços jurídicos, de comunicação, gestão sénior, para que todos saibam trabalhar em conjunto durante um evento.
  • Realizar exercícios de gestão de crises e com gestores de topo para testar as relações.
  • Reunir regularmente com autoridades, parceiros de resposta a incidentes e aconselhamento jurídico externo para reforçar o apoio.

Preparar, preparar e preparar de novo

  • As ameaças são ágeis e as empresas também deveriam ser. As empresas não avaliam os seus lucros e perdas ou os níveis de liquidez uma vez por ano – a segurança deve ser igual.
  • Usar o planeamento e a validação como uma oportunidade para avaliar e melhorar constantemente a resiliência ou ajustar o trajecto ao longo do tempo.
  • Fazer testes pressão para quando as coisas correm mal.

FORAM ATACADOS – O QUE SE SEGUE?

“Nunca desperdicem uma boa crise” – após qualquer ataque de ransomware, os CISO devem reflectir sobre melhorias para aliviar o impacto de eventos futuros.

1. Identificar o ataque

Usem a resposta a incidentes, a análise forense e a inteligência de ameaças para identificarem como o ataque ocorreu e obter uma noção abrangente da intrusão e do impacto medido. Isto é fundamental durante e após o incidente para definir a postura da defesa, o planeamento abrangente da recuperação num domínio comprometido e a recuperação segura das operações comerciais.

2. Colaborar e relatar

Trabalhem com o aconselhamento jurídico para assegurar o cumprimento das obrigações estatutárias, comunicando o incidente às autoridades competentes. Colaborem com parceiros da indústria, consórcios e forças da lei para uma maior consciência das ameaças.

3. Aprender com a experiência

Quantifiquem os impactos financeiros e reputacionais e identifiquem métricas e recursos para satisfazerem as expectativas de resiliência cibernética que os executivos de topo têm em relação ao futuro. Falem com os executivos de topo para que os líderes empresariais possam dar prioridade e supervisionar a análise da resiliência cibernética, assegurar o financiamento para melhorias e incorporá-la nos planos de resiliência empresarial.

4. Actualizar os planos de mitigação de riscos

Avaliem as actuais análises de risco inerente e residual e trabalhem com a empresa para identificarem quaisquer níveis para além dos aceitáveis. Apliquem uma estratégia adequada de mitigação de risco que inclua aspectos como implementação de controlos ou mecanismos de transferência de segurança.

5. Reforçar a postura de defesa

Tornem-se tácticos: corrijam vulnerabilidades identificadas, actualizem sistemas operacionais, implementem controlos de compensação, refinem processos menos sólidos, fortaleçam o ambiente (na rede, nos parâmetros e na identidade), melhorem a higiene cibernética, melhorem a eficácia das operações de detecção de ameaças e de resposta, resolvam as deficiências nos processos de recuperação e liderem as mudanças de comportamento necessárias para reforçar as defesas de cibersegurança.

QUEM ESTÁ A FAZER O QUÊ?

Uma organização pagou resgate duas vezes na sequência de uma falha das suas medidas de protecção antivírus. Assim, os atacantes conseguiram entrar nos seus sistemas, começaram a alterar as medidas e controlos de segurança existentes para garantir acesso contínuo. A organização não percebeu quanto da sua rede tinha sido comprometida e quão sofisticados eram os seus atacantes.

Um fabricante de dimensão média estava a preparar-se para substituir todo o seu software de detecção de vírus. Não sabia que os atacantes se tinham infiltrado na sua rede meses antes e estavam a monitorizar o portal Web da empresa através de uma conta administrativa mal protegida. Quando os atacantes descobriram uma actualização planeada, lançaram um ataque no fim-de-semana antes da implementação das contramedidas.

Um fabricante norueguês de alumínio foi forçado a suspender alguma produção e mudar outras unidades para operações manuais depois de hackers bloquearem os seus sistemas. A sua análise pós-resposta mostrou que os atacantes estiveram presentes na rede durante três meses quando alguém clicou no email errado. O encerramento forçado custou à empresa 44 milhões de euros.

Uma empresa de petróleo e gás com um bom plano de recuperação, backups validados e uma forte equipa de liderança decidiu não pagar um resgate. Quando foi atingida, conseguiu voltar a funcionar em menos de uma semana. Por outro lado, um cliente fabricante que não validou os seus backups e tinha um processo de recuperação fragmentado levou seis semanas a recuperar de um ataque.

TENDÊNCIAS DE RESPOSTA A RANSOMWARE

Um olhar retrospectivo sobre dados de intrusão de 2020.

  • Principais sectores atingidos: Produtos (38%), Recursos (33%), Cuidados de Saúde e Governo Central e Local (17%);
  • Pedidos iniciais de resgate que vão de 85 mil euros até 43 milhões de euros;
  • Tempo médio de inactividade operacional de cerca de 12 dias;
  • A extorsão de dados foi incorporada em mais de 60% das intrusões;
  • O tempo de permanência varia de 2,5 horas a cerca de seis meses;
  • Vectores primários de ataque: 1. Phishing, 2. Acesso remoto, 3. Vulnerabilidade do Software.

ESTÃO PRONTOS PARA UM EVENTUAL ATAQUE?

Ser resiliente significa processos robustos, formação e coordenação em toda a cadeia de valor do negócio.

Perguntem:
O quê

  • Quais é que são os sistemas e dados mais importantes nas operações?
  • Que planos têm em curso? (como por exemplo, continuidade de negócios, recuperação de desastres)
  • Qual é a estratégia de media em caso de crise?

Como

  • Com que frequência pressionam e exercitam os vossos planos?
  • Com que rapidez poderiam responder e recuperar de uma ameaça de ransomware?
  • Como lidariam caso o domínio ficasse comprometido?

Quem

  • Quem é que decide durante uma crise?
  • Quem é responsável por negociar ou rever a política de extorsão?
  • Quem é que trata da resposta a incidentes?

 

Artigo publicado na Revista Executive Digest n.º 1845, de Agosto de 2021

Ler Mais