A empresa pagou aos cibercriminosos para recuperar o controle de sua rede, mas, não verificou suas vulnerabilidades.
Uma empresa, de nome não divulgado, foi vitima de um ataque de ransomware, pagou milhões em bitcoins para retomar o controle de sua rede e recuperar seus arquivos, pouco tempo depois voltou a ser vitima do mesmo grupo de criminosos.
Segundo o alerta da NCSC, a vítima pagou duas vezes pela liberação de suas informações aos criminosos, por não ter tomado as devidas precauções.
Notícias Relacionas: Como evitar golpes na Internet
“Ouvimos falar de uma organização que pagou um resgate (um pouco menos de £6,5 milhões, cerca de 47 milhões de reais, com as taxas de câmbio de hoje) e recuperou seus arquivos (usando o descriptografador fornecido), sem nenhum esforço para identificar a causa raiz e proteger sua rede. Menos de duas semanas depois, o mesmo atacante atacou a rede da vítima novamente, usando o mesmo mecanismo de antes, e reimplantou seu ransomware”. A vítima sentiu que não tinha outra opção a não ser pagar o resgate novamente.
O que fazer?
Além de remover o ransomware e recuperar, as empresas devem manter-se atentas as suas políticas de segurança da informação, para evitar que novos ataques ocorram.
“Para a maioria das vítimas que chegam à NCSC, sua primeira prioridade é – compreensivelmente – recuperar seus dados e garantir que seus negócios possam operar novamente. No entanto, o verdadeiro problema é que o ransomware costuma ser apenas um sintoma visível de uma intrusão de rede mais séria que pode ter persistido por dias, e possivelmente mais”, disse a postagem no blog de um líder técnico da NCSC para gerenciamento de incidentes.
Mesmo com o ransomware removido e o sistema dos backups restaurado, os invasores ainda podem ter acesso backdoor à rede, provavelmente ter privilégios de administrador, e poderiam facilmente reimplantar o ransomware se quisessem, de acordo com a NCSC.
O pagamento pela recuperação de dados não costuma ser recomendado, embora pareça ser a forma mais rápida de restaurar a rede. No entanto, “a recuperação de um incidente de ransomware raramente é um processo rápido”, diz a agência. “A investigação, a reconstrução do sistema e a recuperação de dados geralmente envolvem semanas de trabalho”. Além disso, a vítima, além de pagar pelo resgate, ainda gasta – potencialmente milhões – para analisar o ataque e restaurar uma rede danificada.