A Arizona Beverages, uma das maiores fornecedoras de bebidas nos EUA, está a recuperar depois de um enorme ataque de ransomware no mês passado, segundo informações do TechCrunch.
A empresa, famosa pelas suas bebidas de chá gelado, ainda está a reconstruir a sua rede quase duas semanas após o ataque, limpando centenas de computadores e servidores Windows e efetivamente interrompendo as operações de vendas por dias até que a resposta ao incidente fosse anunciada, de acordo com uma pessoa familiarizada com o assunto.
Mais de 200 servidores e computadores em rede exibiam a mesma mensagem: “A sua rede foi invadida e criptografada”. O nome da empresa estava na nota de resgate, indicando um ataque direcionado.
Avisos publicados no escritório informaram aos funcionários para entregar os seus portáteis para a equipa de TI. “Não ligue, copie arquivos ou conecte-se a qualquer rede”, leia os comunicados. “O seu portátil pode estar comprometido.”
A companhia demorou cinco dias para que a empresa trouxesse responsáveis pelo incidente para lidar com o surto, disse a fonte. Muitos dos servidores estavam a executar sistemas operacionais Windows antigos e desatualizados que não são mais suportados. A maioria não recebeu patches de segurança em anos. A fonte disse que eles estavam “surpreendidos”, um ataque não chegou mais cedo, dada a idade de seus sistemas.
Um dia após o ataque, a equipa descobriu que o sistema de backup não estava configurado corretamente e não conseguiu recuperar os dados por dias até que a empresa assinasse um contrato caro para trazer os responsáveis de incidentes da Cisco. Um porta-voz da Cisco não comentou imediatamente. A equipa de TI da empresa teve que efetivamente reconstruir toda a rede a partir do zero. Desde o surto, a empresa gastou “centenas de milhares” em novos custos de hardware, software e recuperação.
“Depois que os backups não funcionaram, eles começaram a jogar dinheiro no problema”, disse o porta-voz da Cisco.
A infecção por ransomware, entendida como iEncrypt (relacionada ao BitPaymer) por uma captura de tela vista pelo TechCrunch, foi acionada durante a noite de 21 de Março, semanas após o FBI ter contatado a Arizona para alertar sobre uma aparente infecção por malware Dridex. O FBI recusou comentar, mas a fonte disse que eles acreditam que os sistemas do Arizona foram comprometidos há dois meses.
A nota de resgate pediu para enviar um e-mail ao invasor “para obter o valor do resgate”. Não há ferramenta de descriptografia conhecida para o iEncrypt.
O Dridex é entregue por meio de um anexo de e-mail malicioso. Depois que é instalado, o invasor pode obter acesso quase sem restrições a toda a rede e pode roubar senhas, monitorar o tráfego de rede e distribuir malware adicional. Com a ajuda de parceiros internacionais, o FBI derrubou o botnet de roubo de senhas em 2015, mas o malware continua a representar uma ameaça. Mais recentemente, o Dridex foi usado para fornecer ransomware às vítimas.
O ransomware também infectou o servidor Exchange da empresa, movido pelo Windows, derrubando e-mails em toda a empresa. Embora os seus sistemas Unix não tenham sido afetados, o surto de ransomware deixou a empresa sem computadores capazes de processar pedidos de clientes. A equipe começou a processar os pedidos manualmente vários dias depois da interrupção.
“Estávamos a perder milhões de dólares por dia em vendas”, disse a fonte.
No ano passado, também foi dito que o fabricante alemão KrausMaffei foi atingido em 21 de novembro pelo mesmo ransomware iEncrypt, baseado em uma foto vazada da nota de resgate.
Infecções de ransomware iniciais semelhantes foram conectadas a ataques de ransomware posteriores. A Trend Micro disse em dezembro que o Dridex e outras famílias de malware como Emotet estavam ligados. Semanas antes do surto do Arizona, um condado local da Geórgia foi atingido por um ataque similar de ransomware.
Podemos ajudar a que o seu negócio fique mais protegido e seguro, conheça a solução RISECYBERDATA
Erros comuns na realização de backups
Na realização de backups há que ter alguns cuidados e evitar alguns erros a que nos referimos de seguida:
#Não fazer backup
Este é com certeza o erro mais comum, muitas vezes o backup não é feito por negligência ou por julgar que os dados não eram importantes, pelo menos até perdê-los.
#Deixar o backup no mesmo equipamento onde estão os ficheiros originais
A ideia do backup é criar uma cópia de segurança, e esta cópia de segurança deve ser mantida num local tão seguro quanto possível e, de preferência num local diferente das informações originais.
Caso sejam mantidas juntas tanto as informações como os backups serão perdidos e aí de nada adiantará.
#Não validar a integridade do backup
O backup envolve uma série de processos e não basta apenas fazê-lo, é necessário verificar o arquivo para saber se os dados salvos estarão acessíveis caso necessite, dependendo da forma como é feito o ficheiro de backup, que geralmente é um ficheiro compactado, pode se corromper e um novo backup precisará de ser feito para que tudo funcione adequadamente.
#Não executar o backup periodicamente
É importante que as cópias de segurança sejam encaradas como um processo recorrente, principalmente se as informações contidas no backup tiverem uma atualização constante. Se por exemplo, o backup de um documento de texto que resultará num livro que está a ser escrito for efetuado no primeiro dia do mês e 15 dias depois for perdido, se tiver apenas o backup do primeiro dia todo o esforço destes quinze dias terá sido em vão.
#Não ter controle sobre os arquivos de backup
Após a execução do backup mantenha um controle sobre qual o arquivo que pertence a cada equipamento. Caso a recuperação de dados seja necessária, é crucial que os mesmos não sejam restaurados no equipamento errado.
Podemos ajudar a que o seu negócio fique mais protegido e seguro, conheça a solução RISECYBERDATA