Nos últimos nove dias, o conflito entre a Rússia e a Ucrânia aumentou substancialmente, incluindo aumentos significativos nos ataques cibernéticos. A partir de 15 de fevereiro, uma série de ataques distribuídos de negação de serviço (DDoS) começou.
Esses ataques continuaram na semana passada, impactando tanto o governo ucraniano quanto as instituições bancárias. Em 23 de fevereiro, uma nova variante do malware de limpeza (wiper) chamado HermeticWiper foi descoberta na Ucrânia. Pouco depois, uma nova rodada de ataques de desfiguração de sites (defacement) também foi observada afetando organizações governamentais ucranianas.
Consistente com nossos relatórios anteriores sobre o assunto, vários governos ocidentais emitiram recomendações para que suas populações se preparem para ataques cibernéticos que possam interromper, desativar ou destruir infraestrutura crítica. A crise na Ucrânia já levou a um aumento na atividade cibernética russa, que relatamos em nosso resumo inicial de ameaças publicado no mês passado e em nosso relatório recente sobre o grupo Gamaredon.
Ataques futuros podem ter como alvo organizações dos EUA e da Europa Ocidental em retaliação ao aumento das sanções ou outras medidas políticas contra o governo russo. Recomendamos que todas as organizações se preparem proativamente para se defenderem dessa ameaça potencial.
Como você deve se preparar para o impacto cibernético da crescente crise Rússia-Ucrânia
Não há uma ação única que você possa tomar para proteger sua organização contra essa ameaça. Ao contrário de uma nova família de malware ou vulnerabilidade à solta, os ataques que esperamos podem ocorrer de várias formas. Vários governos ocidentais propuseram amplas recomendações focadas na higiene técnica. Consideramos isso apropriado, dada a variedade de táticas que os atores russos usaram no passado.
Dessa forma, recomendamos que as organizações priorizem ações nas quatro áreas a seguir:
1) Corrigir (patch) Softwares ligados a internet e críticos ao negócio: Aplique patches para qualquer software que contenha vulnerabilidades – não apenas aquelas conhecidas por serem exploradas e usadas para fins criminosos. Isso é mais urgente para softwares de Internet necessários para as operações de uma empresa, como webmail, VPNs e outras soluções de acesso remoto.
2) Prepare-se para ransomware e/ou destruição de dados: Uma forma provável de ataque cibernético seria a utilização de ransomware ou um ataque destrutivo que se passará por ransomware. Como vimos com os ataques NotPetya em 2017 e WhisperGate no mês passado, um ataque que exige um resgate pode não ser realmente “ransomware”. O malware usado nesses casos destruiu os dados sem qualquer chance de recuperação, usando o pedido de resgate simplesmente para cobrir sua verdadeira intenção. A preparação necessária para prevenir e se recuperar desses ataques é semelhante em ambos os casos. Testar planos de backup e recuperação é fundamental, assim como testar seu plano de continuidade de operações caso sua rede ou outros sistemas importantes sejam desativados.
3) Esteja preparado para responder rapidamente: Você não vai querer testar processos de resposta a crises no calor de uma crise real. Certifique-se de designar pontos de contato em áreas-chave de toda a organização em caso de incidente de segurança cibernética ou interrupção na infraestrutura crítica. Teste seu protocolo de comunicação (e protocolos de backup) para evitar ser pego de surpresa sem um mecanismo claro para divulgar informações críticas. Realize um exercício com todas as partes-chave para explicar como você reagiria no caso de o pior acontecer.
4) Lockdown de rede: Fazer pequenas alterações de política pode diminuir a probabilidade de um ataque bem-sucedido contra sua rede. Ataques recentes usaram aplicações populares como Trello e Discord para distribuir arquivos maliciosos. Os usuários não precisavam usar o software para serem impactados, os invasores simplesmente usavam as plataformas para hospedar links em arquivos. Muitas aplicações podem ser usadas dessa maneira e, se sua organização não necessitar de aplicações assim, bloqueá-las melhorará sua postura de segurança.
Não há como saber com certeza a forma que um ataque pode ter, mas tomar essas medidas ajudará a fornecer ampla proteção contra o que quer que aconteça.