Ciberataque: mais uma grande empresa é vítima de um ransomware
Mais um ataque cibernético de consequências devastadoras para instituições financeiras. A bola da vez é o BancoEstado, um dos três maiores bancos chilenos, que foi afetado por um ransomware no dia 06 de setembro. Segundo um comunicado à Equipe de Resposta a Incidentes de Cibersegurança (CSIRT) do Chile, acredita-se que o Ciberataque envolveu o ransomware Sodinokibi, também conhecido como Revil.
No próprio dia 06, o banco informou através de comunicado haver detectado um software malicioso em seus sistemas operacionais; e que as suas plataformas poderiam apresentar algum tipo de indisponibilidade devido ao incidente. No entanto, os caixas eletrônicos e Internet Banking não foram afetados, assim como os recursos de seus clientes ou da própria instituição. Acredita-se que o ataque, mais uma vez, foi originado através de Engenharia Social, quando um dos funcionários do banco abriu um documento Office infectado com o vírus.
Ao comprometer a máquina do funcionário, o atacante foi capaz de, através de movimentação lateral, infectar mais de 12 mil endpoints e afetar as operações de todas as 416 agências do banco chileno.
Após terem detectado o Ciberataque no dia 05, um sábado, o BancoEstado informou o incidente à Comisión para el Mercado Financiero (CMF), o equivalente à nossa Comissão de Valores Mobiliários (CVM), que logo emitiu um alerta ao sistema bancário chileno.
Longas filas se formaram nos dias seguintes ao Ciberataque, diante das agências do BancoEstado. Correntistas se queixaram no Twitter de várias anomalias em suas contas, como transferências não creditadas nas contas de destino, além de falta de acesso a contas de investimentos e inconsistência de dados na totalização de valores. Ao mesmo tempo, há informações de que os cibercriminosos iniciaram campanhas de spam em nome do banco, para capturar credenciais de clientes.
Um ataque dessa magnitude indica grandes falhas no controle de acesso às redes internas, inclusive de um sistema eficiente de monitoramento e de resposta. Isso envolve a falta de recursos computacionais e humanos para a adequada resposta a incidentes.
Outra organização vítima do mesmo ransomware que atingiu o BancoEstado, em julho deste ano, foi a Telecom Argentina, maior operadora de telefonia do país. Neste caso específico, o valor exigido foi de 7,5 milhões de dólares.
Veja também: Como proteger sua empresa de ameaças internas?
Mas, o que é o ransomware Sodinokibi e qual a dinâmica do seu funcionamento?
O Sodinokibi é uma família de ransomwares que afeta sistemas Windows, e criptografa arquivos importantes, solicitando um valor em dinheiro para descriptografá-los. Os criadores do ransomware estão também associados a outro software malicioso, o GandCrab, que já foi associado a aproximadamente 40% das infecções globais por ransomware, antes de ser aposentado por seus criadores, em junho de 2019. Daí já se pode se ter uma ideia do potencial de infecção do Sodinokibi.
A primeira diferença notada pelos usuários ao terem o dispositivo infectado pelo ransomware é um aviso de infecção, quando os arquivos já estão criptografados. As instruções de resgate também ficam visíveis na Área de Trabalho do usuário.
Mais do que nunca, ataques cibernéticos através de ransomwares estão entre os maiores riscos para organizações de todos os tamanhos e setores. De acordo com o relatório Mid-Year Threat Landscape Report 2020, houve um aumento de 750% nas tentativas de ataque através de softwares maliciosos envolvendo resgate. E não apenas a quantidade destes ataques está aumentando, como também a sofisticação dos ataques.
Em muitos casos, os atacantes maliciosos utilizam ameaças contra as suas vítimas de vazar os dados criptografados, algo que pode impeli-las a pagar as altas quantias exigidas como resgate. Uma das causas são as pesadas sanções às quais as organizações estão sujeitas em caso de vazamento de dados. Se o vazamento envolver dados pessoais de cidadãos europeus e a organização estiver sujeita à GDPR, a multa poderá chegar a até 50 milhões de euros. Caso ocorra no Brasil e a LGPD for aplicada, esse valor poderá chegar a até 50 milhões de reais.
Algumas das formas de mitigar os riscos associados a uma infecção por ransomwares é assegurar que as atualizações de segurança sejam aplicadas assim que liberadas pelos desenvolvedores. Desta maneira, é possível evitar que atacantes maliciosos explorem vulnerabilidades para infectar o ambiente. A implementação de recursos como Autenticação Multifator é outra estratégia que permite evitar que hackers se movam lateralmente pelo ambiente e infectem ainda mais endpoints.
Os times de Segurança Cibernética também devem realizar backups de seus sistemas, assim como realizar testes periódicos como parte dos seus planos de recuperação de desastres e resposta a incidentes. Assim, é possível garantir que os sistemas sejam recuperados sem necessidade de pagamento de resgate.
A implantação de uma solução de PAM como o senhasegura também é uma excelente forma de mitigar os riscos de cibersegurança (e de negócio) associados a uma infecção por ransomware.
Através da nossa solução de Gestão da Delegação e Elevação de Privilégio, o senhasegura.go, é possível segregar o acesso a informações sensíveis, isolando ambientes críticos e correlacionando eventos para identificar qualquer comportamento suspeito. A partir do controle de listas de ações autorizadas, notificadas e bloqueadas com diferentes permissões para cada usuário, o senhasegura.go permite diminuir os riscos atrelados à instalação de softwares maliciosos e abuso de privilégio, que podem comprometer o ambiente. Finalmente, a partir do senhasegura, é possível superar os desafios de implantar controles das legislações de proteção de dados como GDPR e LGPD, assim como regulações PCI, ISO, SOX e NIST, com automação dos controles de acessos privilegiados para obter maturidade nos processos auditados.
Voltando ao caso do BancoEstado, uma equipe de especialistas em segurança da Microsoft entrou em ação para tentar recuperar os sistemas e retomar as operações do banco. Até o dia 11 de setembro, aproximadamente 350 agências já haviam sido reabertas, com a expectativa de retomada total das operações para os dias seguintes. No entanto, as consequências do Ciberataque são nítidas: perda de receita (e possivelmente de clientes), além de danos de reputação e eventuais sanções pelo incidente.