Gangue de cibercriminosos buscava usar páginas falsas de login da companhia como spear phishing. Em entrevista à Security Report, o CEO Fábio Ramos, detalhou a ocorrência com destaque para a importância da ação rápida em um momento de crise cibernética, além da transparência para mercado e clientes. Ele também ressaltou a mudança de mentalidade da empresa após o incidente
É bastante comum as organizações atingidas por algum incidente cibernético evitarem dar muitas informações a respeito da ocorrência, em muitos casos, a comunicação para o mercado acontece dias após o fato. Esse não foi o caso da Axur, que conversou exclusivamente com a Security Report a respeito de uma tentativa de ataque cibernético envolvendo os domínios digitais da própria corporação.
“Quando nos deparamos que, de fato, estávamos sendo vítima do cibercrime, nos gerou uma sensação bastante ruim. Por mais que tenhamos muita experiência em situações como essa, pois somos um player de SI, passar por uma situação de crise cibernética é realmente desafiador em todos os sentidos. Como empresa de Segurança, vivemos da nossa reputação”, destaca Fábio Ramos, CEO da Axur, em entrevista à Security Report.
O evento entrou no radar da companhia em 29 de dezembro de 2022, quando suspeitos usando o nome da Axur foram detectados na rede. Apesar de ainda não hospedarem qualquer conteúdo, os profissionais em Cyber mantiveram as páginas em monitoramento para o caso de serem usadas como portais falsos ou fontes de envio de e-mails, através de registros de Mail Exchange (MX).
A descoberta apenas teve um desdobramento em 8 de março, quando um dos domínios iniciou um espelhamento do campo de login da plataforma Axur. A corporação então decidiu instalar uma sala de guerra para vigiar possíveis páginas falsas e responder a ocorrência com a derrubada do endereço falso, executado em menos de 2 horas.
“Rapidamente começamos os processos de remoção e investigação ainda em curso. Nenhuma informação foi comprometida e a tentativa de ataque já está neutralizada. Enfrentamos inclusive o dilema de derrubar a página rápido demais para conseguir informações úteis a investigação, o que não ocorreu”, explica Ramos.
O executivo afirmou que o incidente foi impetrado por um grupo de agentes hostis devido à ação da Axur em fechar uma série de páginas falsas mirando um dos clientes do portfólio da empresa. Os fortes reveses causados às operações criminosas levaram o grupo a promover uma retaliação contra a Axur, buscando acesso aos sistemas internos e forçar uma desmoralização da imagem corporativa. Assim, o ataque premeditado de spear phishing estava direcionado a esse cliente.
Transparência
A comunicação também foi um fator chave no enfrentamento do incidente. Segundo o CEO, desde o começo tinha-se a necessidade de transparência, levando-os a alertar clientes, parceiros e posteriormente o mercado para evitar acessos nesse domínio e exposição de credenciais. Qualquer ocorrência nesse sentido poderia abalar a reputação da companhia e atingir frontalmente o negócio.
“Em casos de incidentes cibernéticos, a comunicação é fundamental, pois deixar um vazio de informações leva as pessoas a criar histórias e rumores. Então, é melhor explicar e ser o mais transparente possível. Se questões de compliance e de investigação impedem a divulgação de detalhes, as empresas podem optar por um comunicado mais simples e direto, deixando claro o ocorrido e que os fatos estão sendo apurados, com a promessa de mais informações no futuro”, diz.
Possuindo informações mais claras, os clientes e parceiros da Axur se comprometeram a tomar parte no monitoramento e trocar informações com a organização. Esse engajamento ampliou o escopo de vigilância contra os cibercriminosos e evitou falsos positivos nos processos de resposta. Na visão de Ramos, essa experiência mostrou as companhias que experiências de compartilhamento com a comunidade de Cibersegurança geram bons frutos.
“Uma comunicação diligente e transparente é muito importante. Isso permite construir um diálogo correto e se torne um ponto de referência em caso de dúvidas a respeito do caso. As pessoas valorizam muito quando o contato é feito de forma clara e veloz”, comenta o executivo.
Plataforma de monitoramento
Apesar do incidente não ter sido concretizado, houve um grande impacto na mentalidade carregada pela companhia. Isso levou à iniciativa de abrir a base de nomes de domínios vigiados pela Axur para serem acessados por qualquer outra corporação interessada em monitorar os próprios endereços em rede. Dessa iniciativa nasceu o Domain Watchdog, capaz de manter a análise de 10 registros diferentes de forma gratuita.
“Depois da ocorrência, percebemos que esse tipo de ataque ocorre todos os dias, em todos os lugares. Como empresas de pequeno porte, sem condições de manter um monitoramento rígido de domínios conseguem se proteger desse tipo de ação maliciosa? Mobilizados pela causa, os funcionários da Axur tiveram a iniciativa de propor esse novo recurso, criando essa solução”, explic Fábio Ramos.
O CEO ainda ressaltou a recepção positiva do Watchdog pela comunidade Cyber. Segundo ele, a ferramenta recebeu muitos feedbacks dos líderes de SI, fazendo dela uma construção do próprio coletivo de profissionais. No momento, o projeto ainda está em versão beta, com aproximadamente 300 usuários testando o plano gratuito.
“Nunca achamos que aconteceria conosco. Esse ceticismo foi mudado depois do incidente e hoje entendemos ser uma das empresas mais visadas por criminosos. Agora, ficaremos para sempre com essa atenção redobrada, pois o risco real paira sobre todas as companhias”, encerra Ramos.
