EXCLUSIVO – Muitas coisas acontecem no palco principal do ITC Vegas 2022, evento que reúne quase nove mil pessoas de 58 países, segundo a sua CEO, Megan Kuczynski. O primeiro dia de palestras trouxe ao público a dinâmica de um ataque ransonware apresentado em passo a passo. Billy Gouveia, fundador, e Brian Dykstra, diretor forense, ambos da Surefire Cyber.
O ransonware é um tipo de malware de sequestro de dados, feito por meio de criptografia, que usa como refém arquivos pessoais da própria vítima e cobra resgate para restabelecer o acesso a estes arquivos. Gouveia ressaltou que ele é extremamente lucrativo por trazer um valor relativamente fácil para os cibercriminosos.
Gouveia apontou os passos comuns: reconhecer o alvo, ponto de entrada, escalada privilegiada, movimentos laterais, exfiltração e procura os arquivos. “Os criminosos estão escaneando as empresas a procura de vulnerabilidades. Um escaneamento completo pode durar menos de 45 minutos”, alertou Gouveia.
“No mundo cibernético, a infraestrutura é a primeira defesa. Se não acharem uma fraqueza externa, os cibercriminosos mandam emails com malware. Phishing é muito comum e pode ser bem genérico”, destacou Dykstra. A saída é usar filtros de email para evitar o risco de phishing, com multi níveis de autenticação.
Ainda verificando a cena do crime, os cibercriminosos saem do uso de uma conta pessoal para a conta do administrador da conta. Eles conseguem permissão para entrada usando uma ferramenta chamada Mimikatz. O próximo passo é buscar as senhas e credenciais de administrador para o log in. No meio da noite, os cibercriminosos tentam o acesso ao servidor com a senha de todos.
Para combater este passo, quanto maior e mais diversa for a senha, menor a possibilidade. A senha mais forte é a mais longa. “Com uma senha de seis dígitos é possível vasculhar um sistema em um dia. Se a senha for de 10 caracteres mistos esta busca pode levar 20 anos”, exemplificou Gouveia.
A exfiltração, ou o roubo de dados, é feita pela senha do administrador para encontrar todos os backups e apagá-los. Eles vão atrás de arquivos sensíveis, dados de RH’s, vendas etc. Isso é feito através de ferramentas de busca. Depois, os cibercriminosos simplesmente coletam todos os dados e usam sites de compartilhamento de arquivos para copiar e soltar”, apontou Dykstra.
Gouveia destacou que mesmo que os dados não sejam roubados, a organização é responsável pelo acesso às informações sensíveis. “Nada é pior do que ter os backups apagados, porque a única forma de reaver os dados é através do pagamento do resgate”, avisou.
A criptografia é quando alguém percebe a invasão. O objetivo dos cibercriminosos é criptografar a maior quantidade possível de informações. Isso normalmente acontece em uma sexta-feira à noite ou em um feriado.
Ao fazer um login e encontrar uma mensagem criptografada é importante não desligar o sistema. Coloque em modo avião para impedir que o ransonware continue a avançar. É preciso requerer ajuda através de um plano pré-aprovado, com a colaboração dos steakholders.
O seguro não é apenas uma ferramenta para garantir o risco. Mais do que isso, ele pode contribuir com o gerenciamento de risco, oferecendo serviços com empresas de resposta, especialistas para negociação e equipes de restauração que vão ajudar a restabelecer todo o sistema.
Kelly Lubiato, de Las Vegas
Revista Apólice