São Paulo — InkDesign News — Um incidente de ransomware expôs práticas inadequadas de resposta a ataques cibernéticos em uma empresa, com falhas graves desde a negociação prematura com agentes maliciosos até a ausência de backups, comprometendo dados sensíveis e a continuidade do negócio.
Vetor de ataque
O ataque iniciou-se com o comprometimento da rede da empresa por um grupo de ransomware. A intrusão permitiu acesso remoto via RDP (Remote Desktop Protocol) aberto para a internet, configurado com regras “ANY-ANY” no firewall, facilitando a movimentação lateral e o controle total do ambiente pelo agente malicioso. O cibercriminoso também realizou a limpeza de logs para eliminar vestígios da invasão, expondo a ausência de políticas robustas de monitoramento e segurança. A falha na adoção de proteção avançada, como soluções de EDR (Endpoint Detection and Response), reforçou a vulnerabilidade do ambiente ao ataque.
Impacto e resposta
Com os sistemas completamente paralisados, o impacto envolveu a interrupção total das operações comerciais e o vazamento de centenas de gigabytes de dados de clientes. A tentativa da empresa de negociar diretamente com o grupo criminoso no site onion, sem avaliar riscos adicionais, complicou a contenção do incidente. A empresa não dispunha de backups nem de seguro cibernético, optando por efetuar o pagamento do resgate, prática que implica riscos legais e éticos, especialmente ao envolver entidades sancionadas pelo OFAC. O uso direto da chave de descriptografia sem análise prévia aumentou o risco de re-infecção. A decisão de conceder acesso remoto ao invasor para participação na recuperação afetou a integridade e segurança do ambiente.
“Quando o cliente descobriu a nota de resgate, eles imediatamente acessaram o site onion do ator de ameaça e começaram a negociar um preço mais barato para a chave de descriptografia. O cliente não demonstrou preocupação sobre se estava sendo enganado ou potencialmente liberando mais malware na rede.”
(“When the customer discovered the ransom note, they immediately logged in to the threat actor’s (TA’s) onion site and started attempting to negotiate a cheaper price for the decryption key. The customer exhibited no concern about whether they were being scammed or potentially unleashing more malware on their network.”)— Especialista em Resposta a Incidentes, Dark Reading
Análise e recomendações
A ausência de práticas básicas, tais como a mudança imediata de credenciais comprometidas, o fechamento das portas de acesso público ao RDP e a implementação de ferramentas de resposta a incidentes como o EDR, comprometeram a eficácia da defesa e resposta ao ataque. É fundamental que organizações adotem uma cultura de segurança preventiva, incluindo backups regulares, seguros cibernéticos, análise forense dos artefatos antes do uso de ferramentas de recuperação e envolvimento de assessoria jurídica em casos de ransomwares com agentes sancionados. Conforme reforçado pela equipe de resposta,
“Pagando a um grupo sancionado pelo OFAC é algo sério. Pagando um terrorista é algo bastante criticado.”
(“Paying a group that is sanctioned by the Office of Foreign Assets Control (OFAC) is a big deal. We explained that paying a terrorist is frowned upon.”)— Especialista em Resposta a Incidentes, Dark Reading
Além disso, a orientação inclui trabalhar com parceiros de serviços gerenciados em segurança para prevenção contínua e monitoramento das redes. O caso evidencia a necessidade de educar os tomadores de decisão para não reagir de forma precipitada frente às demandas dos agentes maliciosos, evitando agravar a situação.
O setor de segurança cibernética observa uma crescente sofisticação nos ataques de ransomware, exigindo preparo técnico e estratégico aprimorado para mitigar riscos e minimizar danos futuros em 2024 e além.
Segurança Cibernética | Ameaças
Fonte: (Dark Reading – Segurança Cibernética)
