//Ataque de Ransomware Derrubou Toda uma Cidade por 4 Dias
ransomware

Ataque de Ransomware Derrubou Toda uma Cidade por 4 Dias

Nós realmente não conhecemos a dor e o custo de um evento de tempo de inatividade, a menos que toquemos diretamente.

Seja uma inundação, falha elétrica, ataque de resgate ou outros grandes eventos geográficos; não sabemos o que é realmente ter de restaurar a infraestrutura de TI, a menos que tenhamos que fazer isso nós mesmos.

Nós olhamos as questões de backup e recuperação de outras pessoas e esperamos que sejam mais inteligentes ou inteligentes o suficiente para evitar que isso aconteça conosco.

A recuperação de um evento de tempo de inatividade inclui inconvenientes, trabalho extra, constrangimento e sim, dor real.

Um exemplo é um ataque ransomware

Unitrends – uma empresa americana especializada em soluções de backup e continuidade de negócios – recentemente compartilhada conosco, um incidente de ataque cibernético real aconteceu com um de seus clientes para descrever as etapas necessárias que eles levaram para recuperar a funcionalidade após um ataque CryptoLocker contra uma cidade dos EUA.

Além disso, como custa a equipe de governança da cidade dias de produção e centenas de horas-homem para se recuperar.

O desafio

Issaquah é uma cidade pequena de 30.434 pessoas em Washington, Estados Unidos. De acordo com Forbes, eles são o segundo subúrbio de mais rápido crescimento no estado de Washington.

John T, Gerente de TI lidera uma equipe de cinco funcionários que executam todas as iniciativas de TI co-desenvolvidas com a equipe de governança de TI da cidade. O time de John administra toda a tecnologia, desde telefones, redes, servidores, desktops, aplicativos e serviços em nuvem.

A cidade possui apenas duas equipes de TI dedicadas à infraestrutura.

“Estamos espalhados tão finos que os registros não são monitorados de forma consistente”, relata John. “Estamos a recuperar lentamente de uma década de sub investimento em TI e tem uma grande quantidade de software, hardware e atualizações de rede”.

Parte desse sub investimento é que eles continuaram a confiar em uma unidade de fita que tinha dez anos usando o Backup Exec.

Eles continuaram tropeçando até serem atingidos com um ataque de ransomware CryptoLocker.

A infecção

Veja abaixo a história completa compartilhada por John:

Na análise final, acreditamos que o ataque do ransomware originou-se de um “drive-online” onde um único funcionário da cidade visitou e abriu um arquivo .pdf que havia sido comprometido em um site de coordenação de concessão administrado por um sem fins lucrativos. Este não é um risco incomum – uma pequena empresa ou site da organização que não possui financiamento de TI para manter os riscos de segurança no mundo da luz da luz de hoje.

A maioria das entradas no arquivo de log do usuário eram inofensivas, embora o vírus funcionasse, poderia ter sido baixado a qualquer momento, mas ainda precisava ser executado pelo usuário. Poderia estar sentado no disco rígido por semanas (parecendo um .pdf) antes de ser executado, embora devêssemos entrevistar o usuário para ver se ela se lembra de algo assim. Este resgate parecia desativar nossos sistemas antivírus, e é conhecido por remover todos os traços uma vez que terminou.

Este vírus correu apenas na memória do PC e não apareceu em nenhum outro dispositivo em nosso sistema. Apenas atacou o Microsoft Office, a imagem, o .pdf e os arquivos de texto em pastas no PC do usuário e compartilhamentos de arquivos aos quais o usuário teve que escrever o acesso. Parou de criptografar arquivos uma vez que o PC foi reiniciado no modo de segurança. A falta de propagação poderia ter sido resultado do vírus que foi projetado para residir exclusivamente na memória para evitar acionar alarmes ou porque o nosso software antivírus interceptou-o em outros dispositivos, pois tentou se propagar.

O servidor físico que hospedou o arquivo também hospedou cinco servidores de aplicativos virtuais críticos. Após uma análise cuidadosa, foi determinado que estes não foram comprometidos. Movemos imediatamente essas máquinas virtuais para um host diferente. Isso foi feito antes de iniciar a restauração do servidor para reduzir o processador e a carga NIC no host do servidor de arquivos.

Quando começamos o processo de restauração do servidor de arquivos, rapidamente se tornou aparente, levaria muito tempo … quatro dias, como acabou. Uma análise rápida revelou que não tínhamos outras opções para restaurar o servidor de arquivos. O dispositivo backup.exe funcionou e nunca falhou ou interrompeu durante o processo de restauração. Parece que a escala da restauração era muito grande para a capacidade do dispositivo e teve que acelerar o treino, tornando o processo muito longo.

Felizmente para nós, o ataque aconteceu numa quinta-feira, então só a produção do escritório de quinta-feira e sexta-feira foi perdida. Mesmo assim, nossos usuários foram muito impactados negativamente e bastante chateados (assim como nós). Isso levou o financiamento a ser lançado para passar para um aparelho de backup moderno .

O custo real para recuperar de um ataque Ransomware

John disse que os executivos seniores concordaram em financiar uma atualização para o sistema de backup e, após um processo de seleção de fornecedores, sua equipe escolheu o que considerava ser a melhor combinação de recursos e capacidade com custos razoáveis.

Se o mesmo ataque do Ransomware tiver ocorrido hoje com os dados de backup no dispositivo da Série 933S da Unitrends Recovery, os resultados teriam sido muito diferentes.

Primeiro, o ataque teria sido descoberto muito rapidamente, pois todos os appliances Unitrends incluem software analítico preditivo e aprendizado de máquina que reconhecerão automaticamente os efeitos do ransomware em arquivos de backup.

Um e-mail seria automaticamente enviado aos administradores, avisando o ataque e identificando os arquivos afetados. Em seguida, o plano de recuperação de desastres que eles tiveram no lugar seria executado.

Em segundo lugar, excluir, reinstalar arquivos afetados e reiniciar servidores afetados levaria minutos, não horas e provavelmente não quatro dias.

As aplicações críticas poderiam ter sido ativadas instantaneamente no dispositivo de backup usando os últimos backups legais feitos antes da infecção. Isso limitaria muito o impacto negativo sobre a produtividade dos funcionários e do escritório.

Os resultados

Houve vários incidentes de backup e recuperação desde que o Unitrends Appliance foi instalado, informou John.

“Usamos o nosso appliance de backup para recuperar arquivos que foram excluídos acidentalmente pelos usuários finais. Nós também o usamos para recuperar máquinas virtuais quando tivemos uma falha no sistema host. O tempo de inatividade no último caso foi limitado ao tempo de resposta do pessoal como a missão O VM de backup crítico foi aumentado em menos de cinco minutos! “

“Nós também planejamos mudar para a nuvem muito em breve desde que o appliance Unitrends vem com software de nuvem integrado. Os maiores benefícios que esperamos ver da nuvem são o armazenamento off-site de baixo custo, a capacidade de recuperar aplicativos na nuvem, se necessário como recurso de DraaS , e acesso de qualquer lugar em caso de emergência de tipo desastre natural “.

“Agora temos a paz de espírito, sabendo que podemos recuperar rapidamente quando necessário. Nós também aumentamos o conhecimento de equipe compartilhada em backup e DR com a interface de usuário fácil de usar”

Leia mais em: Segurança da Informação

Fonte:  https://thehackernews.com


Sou Analista de Sistemas Bacharel em Sistemas da Informação, Certificado MCTS 70-680 / MOS, Trabalho como Administrador de Redes e Servidores Windows e Linux! Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.