Os especialistas de segurança da Check Point analisam o ataque sofrido pela empresa de jogos CD PROJEKT RED, desenvolvedora polonesa de sucessos como Cyberpunk 2077 e The Sorcerer. O ataque de ransomware de dupla extorsão criptografou os servidores da empresa e os atacantes alegaram ter documentos roubados relacionados aos departamentos de contabilidade, jurídico, RH e relações com investidores da empresa.
Os ataques de ransomware são uma ameaça para qualquer empresa e a Check Point acompanha um grave aumento desse tipo de ataque nas últimas semanas. No ano passado, o ransomware teve um impacto em cerca de 1% de organizações; e no Brasil, os pesquisadores da Check Point identificaram que o país teve um aumento de 40% desses ataques no último trimestre de 2020. Mas, 2021 será o ano do ransomware. Na Europa, até 7% das organizações enfrentaram ataques de ransomware em janeiro deste ano, e na República Tcheca até 12%.
O resgate pode ser muito alto em casos semelhantes, e é praticamente impossível rastrear atacantes no caso de um pagamento em bitcoin.
Os pesquisadores da Check Point não têm informações precisas sobre este caso da CD PROJEKT RED, mas, pelos dados disponíveis, a percepção é de que tenha sido um ataque de ransomware tradicional. Além disso, os atacantes recentemente aproveitaram-se de dupla extorsão, ameaçando divulgar as informações roubadas.
No final do ano passado, por exemplo, a Check Point alertou contra os cibercriminosos por trás do ransomware Pay2Key. A quadrilha costuma exigir um resgate de 7 a 9 bitcoins e, ao mesmo tempo, ameaça publicar as informações roubadas em um site especializado. Da mesma forma, em novembro de 2019, durante um ataque à agência de segurança americana Allied Universal, os atacantes exigiram um resgate de 300 bitcoins e, em caso de falta de pagamento, ameaçaram usar informações sigilosas roubadas, e-mails e outros dados em uma campanha de spam.
Também durante o ataque à empresa financeira Travelex, 5 GB de dados confidenciais de clientes, incluindo datas de nascimento, informações de cartão de crédito e números de seguro, foram baixados e os cibercriminosos deram à Travelex dois dias para efetuar o pagamento de resgate no valor de US$ 6 milhões, caso contrário, o valor aumentaria. A Travelex teve de permanecer offline por três semanas para se recuperar do ataque.
“Infelizmente, muitos exemplos semelhantes a esse poderiam ser citados. Não se trata apenas do resgate em si, mas também sobre os efeitos negativos à reputação das empresas”, comenta Fernando De Falchi, gerente de Engenharia de Segurança da Check Point Brasil. “O número de ataques cibernéticos a organizações tem crescido continuamente desde meados do ano passado. No Brasil, o volume médio de tentativas de ataque a uma única organização no país foi de 560 por semana, entre julho de 2020 até janeiro de 2021”, informa Falchi.
Como as organizações podem se proteger
1) Backup
É necessário fazer backup de arquivos importantes de forma consistente e também usar backups automáticos nos dispositivos dos funcionários, sem ter de depender deles para lembrar de ativar o backup.
2) Educar os funcionários para conhecer as ameaças potenciais
No início, o ransomware geralmente tenta penetrar na organização por meio de mensagens de phishing ou spam. Muitas vezes, é possível evitar um ataque se o usuário puder identificar uma ameaça potencial. Portanto, a educação é importante. É preciso certifique-se de que, se os funcionários suspeitarem de uma ameaça ou atividade incomum, relatem tudo imediatamente às equipes de segurança.
3) Restringir o acesso apenas às informações necessárias
Para minimizar o impacto de um ataque bem-sucedido, é importante garantir que os usuários tenham acesso apenas às informações e aos recursos de que precisam para realizar seu trabalho. Por exemplo, por segmentação, o usuário minimiza o risco de o ransomware se espalhar incontrolavelmente pela rede. Resolver as consequências de um ataque de ransomware em um único sistema pode ser difícil, mas reparar danos após um ataque em uma rede inteira é muito mais complexo.
4) Usar tecnologias de prevenção avançadas
Além das tecnologias de segurança tradicionais, como uma suíte completa de proteção para endpoint, controle de acesso, e uma robusta tecnologia de proteção contra intrusos (IPS – Intrusion Prevention System), as organizações devem usar camadas adicionais para evitar ataques de malware desconhecidos. Não basta apenas detectar, é preciso implementar tecnologias preventivas, por exemplo, para extração e emulação de ameaças. Cada camada fornece proteção diferente e, em conjunto, a solução de segurança deve fornecer proteção abrangente contra ameaças cibernéticas conhecidas e desconhecidas em redes e endpoints. Ao mesmo tempo, é importante manter todos os sistemas, dispositivos e aplicativos atualizados.
“Assim como nem todo usuário ou dispositivo deve ser capaz de acessar qualquer aplicativo ou servidor na rede, nem todo servidor ou aplicativo pode ser habilitado a se comunicar com outros servidores e aplicativos na rede. Ao implantar qualquer novo software ou tecnologia em suas redes, as empresas devem se perguntar o que poderia acontecer se esse produto fosse comprometido por causa de uma atualização mal-intencionada e tentar colocar controles que minimizariam o impacto tanto quanto possível”, explica Falchi.
“A cibersegurança deve ser parte integrante de todos os processos de negócios devendo ser abordada de forma abrangente, pois estamos diante de uma tendência que continuará a crescer porque coloca uma pressão extra nas organizações, tanto para pagar o resgate como arriscar em receber multas se volumes de dados de indivíduos forem comprometidos e divulgados publicamente pelos atacantes. As empresas também devem começar a pensar em aplicar princípios de rede Zero Trust (confiança zero) e controles de acesso baseados em funções, não apenas para usuários, mas também para aplicativos e servidores.”, conclui Fernando De Falchi.
