Crise entre Rússia e Ucrânia: Como se preparar para o impacto cibernético

Uma variante do malware de limpeza (wiper) chamado HermeticWiper foi descoberta na Ucrânia. Pouco depois, uma nova rodada de ataques de desfiguração de sites (defacement) também foi observada afetando organizações governamentais ucranianas

Compartilhar:

Nos últimos nove dias, o conflito entre a Rússia e a Ucrânia aumentou substancialmente, incluindo aumentos significativos nos ataques cibernéticos. A partir de 15 de fevereiro, uma série de ataques distribuídos de negação de serviço (DDoS) começou.

 

Esses ataques continuaram na semana passada, impactando tanto o governo ucraniano quanto as instituições bancárias. Em 23 de fevereiro, uma nova variante do malware de limpeza (wiper) chamado HermeticWiper foi descoberta na Ucrânia. Pouco depois, uma nova rodada de ataques de desfiguração de sites (defacement) também foi observada afetando organizações governamentais ucranianas.

 

Consistente com nossos relatórios anteriores sobre o assunto, vários governos ocidentais emitiram recomendações para que suas populações se preparem para ataques cibernéticos que possam interromper, desativar ou destruir infraestrutura crítica. A crise na Ucrânia já levou a um aumento na atividade cibernética russa, que relatamos em nosso resumo inicial de ameaças publicado no mês passado e em nosso relatório recente sobre o grupo Gamaredon.

 

Ataques futuros podem ter como alvo organizações dos EUA e da Europa Ocidental em retaliação ao aumento das sanções ou outras medidas políticas contra o governo russo. Recomendamos que todas as organizações se preparem proativamente para se defenderem dessa ameaça potencial.

 

Como você deve se preparar para o impacto cibernético da crescente crise Rússia-Ucrânia

 

Não há uma ação única que você possa tomar para proteger sua organização contra essa ameaça. Ao contrário de uma nova família de malware ou vulnerabilidade à solta, os ataques que esperamos podem ocorrer de várias formas. Vários governos ocidentais propuseram amplas recomendações focadas na higiene técnica. Consideramos isso apropriado, dada a variedade de táticas que os atores russos usaram no passado.

 

Dessa forma, recomendamos que as organizações priorizem ações nas quatro áreas a seguir:

 

1) Corrigir (patch) Softwares ligados a internet e críticos ao negócio: Aplique patches para qualquer software que contenha vulnerabilidades – não apenas aquelas conhecidas por serem exploradas e usadas para fins criminosos. Isso é mais urgente para softwares de Internet necessários para as operações de uma empresa, como webmail, VPNs e outras soluções de acesso remoto.

 

2) Prepare-se para ransomware e/ou destruição de dados: Uma forma provável de ataque cibernético seria a utilização de ransomware ou um ataque destrutivo que se passará por ransomware. Como vimos com os ataques NotPetya em 2017 e WhisperGate no mês passado, um ataque que exige um resgate pode não ser realmente “ransomware”. O malware usado nesses casos destruiu os dados sem qualquer chance de recuperação, usando o pedido de resgate simplesmente para cobrir sua verdadeira intenção. A preparação necessária para prevenir e se recuperar desses ataques é semelhante em ambos os casos. Testar planos de backup e recuperação é fundamental, assim como testar seu plano de continuidade de operações caso sua rede ou outros sistemas importantes sejam desativados.

 

3) Esteja preparado para responder rapidamente: Você não vai querer testar processos de resposta a crises no calor de uma crise real. Certifique-se de designar pontos de contato em áreas-chave de toda a organização em caso de incidente de segurança cibernética ou interrupção na infraestrutura crítica. Teste seu protocolo de comunicação (e protocolos de backup) para evitar ser pego de surpresa sem um mecanismo claro para divulgar informações críticas. Realize um exercício com todas as partes-chave para explicar como você reagiria no caso de o pior acontecer.

 

4) Lockdown de rede: Fazer pequenas alterações de política pode diminuir a probabilidade de um ataque bem-sucedido contra sua rede. Ataques recentes usaram aplicações populares como Trello e Discord para distribuir arquivos maliciosos. Os usuários não precisavam usar o software para serem impactados, os invasores simplesmente usavam as plataformas para hospedar links em arquivos. Muitas aplicações podem ser usadas ​​dessa maneira e, se sua organização não necessitar de aplicações assim, bloqueá-las melhorará sua postura de segurança.

 

Não há como saber com certeza a forma que um ataque pode ter, mas tomar essas medidas ajudará a fornecer ampla proteção contra o que quer que aconteça.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...