Quando um ransomware visitar sua rede, resolva reconstruí-la melhor. E se você estiver tentado a pagar o resgate, não o faça. Esse dinheiro é melhor gasto em novas defesas para evitar um incidente recorrente.
Estas são algumas das conclusões de um notável relatório da Biblioteca Britânica, Studying Classes From The Cyberattack, que analisa o paralisante ataque de ransomware que atingiu a famosa instituição em outubro de 2023.
Qualquer pessoa interessada em ransomware deve ler este relatório pós-incidente. Ataques de ransomware podem ser rotineiros hoje em dia, mas é raro que organizações (mesmo as do setor público) abram a cortina e compartilhem seu doloroso aprendizado com outras pessoas.
Alguns destaques:
Um servidor fraco
Como os invasores entraram? A natureza destrutiva do ataque tornou difícil dizer, mas o melhor palpite é por meio de um servidor Home windows Terminal Providers instalado em 2020 para melhorar o acesso remoto para terceiros. Infelizmente, por razões técnicas complexas, isso não foi protegido usando autenticação multifator (MFA) antes de uma atualização planejada.
Como um saco de papel molhado
Uma vez lá dentro, os invasores conseguiram se movimentar facilmente o suficiente para localizar e roubar 600 GB de dados relacionados a funcionários e usuários da biblioteca. Eles fizeram isso usando pesquisas por palavra-chave (por exemplo, “passaporte”), copiando algumas unidades por atacado e sequestrando ferramentas de rede nativas para iniciar backups de 22 bancos de dados.
Dor de cabeça com dados
Descobrir quais dados foram ou não comprometidos criou enormes quantidades de trabalho para a equipe de segurança da Biblioteca. A resposta a incidentes tende a ser vista como um exercício técnico; em um ataque de ransomware em ativos de dados complexos, a questão do gerenciamento de dados pode levar quase tanto tempo. Esse esforço durará anos.
Destruição do Servidor
Esqueça a criptografia; as gangues de ransomware de hoje sabem que simplesmente danificar servidores cobrirá seus rastros e prejudicará os esforços de restauração. É tudo sobre aumentar a pressão para pagar. Como diz o relatório:
“É esse último tipo de ataque que teve o impacto mais prejudicial na Biblioteca: embora acreditemos que eventualmente seremos capazes de restaurar todos os nossos dados, estamos temporariamente prejudicados pela falta de infraestrutura viável para restaurá-los.”
Ransomware muda tudo
A análise deixa claro que o ataque mudou os sistemas da biblioteca para sempre:
“Nossos principais sistemas de software program não podem ser trazidos de volta à sua forma pré-ataque, seja porque não são mais suportados pelo fornecedor ou porque não funcionarão na nova infraestrutura segura que está sendo implementada atualmente.”
Custos de recuperação
Curiosamente, embora todos os ataques de ransomware sejam caros, alguns dos custos resultantes deste ataque foram cobertos ao antecipar atualizações de segurança que teriam acontecido de qualquer maneira. Chame isso de orçamento inteligente.
Risco de legado
O relatório observa que a tecnologia legada period uma vulnerabilidade importante. Isso incluía uma topologia de rede complexa, processos fora de dados para lidar com dados (o que aumentava as probabilities de exposição) e software program legado:
“Nossa dependência da infraestrutura legada é o principal fator que contribui para o tempo que a Biblioteca levará para se recuperar do ataque.”
Lembra do WhatsApp
O ataque derrubou canais de comunicação normais, como e-mail, forçando a Biblioteca a usar o WhatsApp. As organizações podem executar esse aplicativo no native, mas poder recorrer ao serviço público do WhatsApp provou ser very important. A comunicação desimpedida entre a equipe conforme o ataque aumenta é um recurso de segurança.
Migrando para a Nuvem
Outra vulnerabilidade period a dependência da Biblioteca em sistemas locais que os invasores conseguiam atingir. Seus sistemas de finanças e folha de pagamento em nuvem, por outro lado, permaneceram inalterados. Agora, ela planeja investir mais pesadamente em infraestrutura de nuvem. No entanto:
“A migração para a nuvem não take away nossos riscos cibernéticos, apenas os transforma em um novo conjunto de riscos que devem ser mais fáceis de gerenciar, dados os recursos e a capacidade necessários.”
Contando ao mundo
Talvez o melhor e mais corajoso aspecto deste relatório é que ele foi twister público. Houve exemplos ocasionais de organizações afetadas por ransomware fazendo isso antes, mas ainda são frustrantemente raros.
Pode-se argumentar que é assim que uma regra de divulgação significativa se pareceria — contar a todos o que aconteceu, não apenas aos reguladores. A British Library e os autores do relatório devem ser elogiados.
