Várias empresas espanholas, inclusive algumas com unidades no Brasil, sofreram um grave ataque de ransomware, na madrugada de 04 de novembro, remanescente do experimentado em meados de 2017 com o Wannacry. Os primeiros ataques oficialmente confirmados foram sofridos pelo Cadena SER e outras estações da Prisa Radio, a Everis e outras também confirmaram oficialmente que estava sendo afetada .
“A Rádio Prisa sofreu esta manhã um ataque de vírus que afetou seriamente e amplamente todos os nossos sistemas de computadores. Os técnicos especializados nesse tipo de situação aconselham fortemente a desconexão total de todos os sistemas, a fim de evitar a propagação do vírus. Falamos, portanto, da situação de emergência extrema”, anunciou esta manhã a empresa em uma mensagem interna a que este jornal teve acesso.
A Everis confirmou posteriormente que deu ordens para todos os seus trabalhadores irem para suas casas até que o problema seja resolvido.
Outras empresas foram afetadas também, além da Prisa Radio, Everis e Cadena. Segundo o ElConfidencial, a Accenture estava enfrentando problemas para acessar seus equipamentos, porém um porta-voz oficial da companhia disse que eles não foram afetados.
“A Accenture não foi alvo de nenhum ataque e, portanto, nossos sistemas não foram afetados ou comprometidos pelo ‘ransomware’ que ocorreu hoje na Espanha”
O ElConfidencial teve acesso a imagens de um computador da Everis, onde em sua tela dizia:
O Instituto Nacional de Segurança Cibernética (Incibe), sob o Ministério da Energia, Turismo e Agenda Digital, garantiu ao ElConfidencial que eles estão analisando a situação e aconselhando as empresas afetadas . “No momento, estamos trabalhando para mitigar e recuperar o incidente em coordenação com as empresas afetadas e as empresas de cibersegurança que as apoiam, como parte de nossas operações habituais”, explicou a agência em comunicado . Até o momento, eles não ofereceram um número específico de empresas afetadas ou nenhum detalhe do vetor de entrada do ‘malware’.
O Departamento de Segurança Interna (DSN), sob a Presidência do Governo, também publicou uma breve declaração confirmando o ataque cibernético e as medidas tomadas pelo SER. “Esse tipo de ataque ocorre com bastante frequência. Em 2016, o Instituto Nacional de Segurança Cibernética tratou cerca de 2.100 incidentes semelhantes a esse. É um ‘malware’ do tipo ‘ransomware’ que atua na vulnerabilidade dos componentes de automação de PCs do escritório, criptografando todos os arquivos e as unidades de rede às quais estão conectados e infectando o restante dos sistemas Windows que estão nessa mesma rede. Após a instalação no computador, ele bloqueia o acesso aos arquivos do computador afetado e solicita um resgate. O caminho da infecção parece ser um arquivo anexado a um email. Não compromete a segurança dos dados nem é um vazamento de dados. “
Vários especialistas em segurança cibernética consultados apontam que, no momento, existem dois vetores de entrada possíveis. Por um lado, um bug recente em várias versões dos servidores comerciais Windows e Microsoft com o nome BlueKeep , um bug que foi notificado ao governo dos EUA. A Microsoft alertou o problema pela primeira vez em 14 de maio e depois novamente no dia 30, instando as empresas a atualizar as versões do ‘software’.
O outro vetor de entrada possível aponta para o Ryuk ransomware , um programa de origem russa que já criptografou os bancos de dados de vários Conselhos espanhóis e que até preocupa o FBI. O mais afetado na Espanha foi o Conselho da Cidade de Jerez, cujos sistemas foram seqüestrados em 2 de outubro. O programa pediu um grande resgate em bitcoins para libertá-los. Esse mesmo vírus atacou outras instituições espanholas, como a Câmara Municipal de Bilbao, Santurtzi ou a Fundação Hazi . Em outros países nos últimos dias, vários hospitais nos Estados Unidos e na Austrália sofreram ataques muito semelhantes a Jerez, todos com a assinatura de Ryuk.
“Ambos os vetores de infecção são muito possíveis, são maneiras diretas, simples e baratas de obter um efeito de contágio. Esse tipo de ‘ransomware’ é caracterizado pelo fato de que apenas ligar o computador já está bloqueado e serve como fonte de contágio para o resto da rede ” , explica o especialista em segurança cibernética Sergio de los Santos. Até o momento, nenhuma empresa ou agência oficial na Espanha confirmou que é o ransomware Ryuk, mas todas as pistas apontam nessa direção.
Ransomware ainda vive!
Neste tipo de ataque, que ainda ocorre com bastante frequência, as chances de vazamento são pequenas, mas certamente causará um grande prejuízo as empresas, não somente operacional, mas também de imagem e reputação.
Os ataques de ransomware tiveram seu pico com o WannaCry mas ainda fazem suas vítimas pelo mundo. Os resgates de ransomwares movimentam o crime, quem não paga gasta milhões para recuperar. O ransomware é agora amplamente visto como a maior ameaça de segurança cibernética para ambas as organizações (empresariais e governamentais).
Em muitos aspectos, ransomware é uma virada de jogo a favor dos criminosos. É incrivelmente fácil e barato para os criminosos executarem ataques globais. Ao mesmo tempo, ransomware é extremamente rentável pois muitas empresas vão simplesmente pagar o resgate para obter os seus sistemas e dados de missão crítica funcionando novamente. E mesmo se elas não pagam, o custo do tempo de inatividade, limpeza de sistemas de TI, e restauração de dados de backup pode afetar significativamente os resultados de uma organização.
A maioria das vítimas pagantes conseguiu recuperar seus arquivos
Segundo uma pesquisa realizada em 2018, cerca de quatro das cinco vítimas de ransomware que pagaram uma demanda de resgate para recuperar seus arquivos disseram que pagariam o resgate novamente para recuperar dados se não houver arquivos de backup disponíveis.
De acordo com os resultados da pesquisa, os entrevistados relataram um aumento nos ataques de ransomware em 2017, em comparação com pesquisas similares realizadas em anos anteriores. De todos os usuários infectados, 47% dos asiáticos e australianos e 41% dos europeus pagaram a demanda de resgate para recuperar o acesso aos seus arquivos criptografados.
A companhia de telecomunicações australiana Telstra diz que 87% dos asiáticos, 86% dos australianos e 82% dos europeus conseguiram recuperar seus arquivos depois de pagar o resgate.
A maioria das vítimas pagaria o resgate novamente
Daqueles que pagaram o resgate – 76% dos asiáticos, 83% dos australianos e 80% dos europeus – disseram que pagariam o resgate novamente se não tivessem arquivos de backup disponíveis.
Isso é contrário ao conselho popular da lei, que recomenda não pagar o resgate. Não obstante, tal conselho idealista é, às vezes, impossível de ser aplicado para empresas em que perder o acesso à propriedade intelectual é muito mais caro à sua atividade diária do que um escasso pedido de resgate de US $ 1.000 a US $ 5.000.
Portanto, ainda há um alto número de vítimas que optam por pagar o resgate e geralmente preferem pagar o resgate, contanto que o custo total de lidar com uma infecção de ransomware continue menor do que investir em práticas de segurança adequadas.
Impacto Financeiro e Impacto Negativo
A perda de reputação também foi classificada como um dos três principais impactos nos negócios na Austrália, APAC e Europa. O impacto financeiro da perda de reputação ou impacto negativo em uma marca pode ser significativo, e leva tempo e uma enorme quantidade de recursos para reconstruir essa reputação. Os dados corrompidos foram o principal impacto para as organizações pesquisadas na APAC e em terceiro lugar na Europa. As organizações estão se tornando mais orientadas a verem os dados como um ativo crítico para impulsionar a diferenciação. Ao mesmo tempo, detectar a corrupção ou alteração de dados durante uma violação de segurança pode ser mais difícil de detectar. Isso se tornará uma preocupação maior no futuro, à medida que as empresas confiam cada vez mais em big data e analytics para insights de negócios.
Fonte: ElConfidencial & BitCoin.es & CadenaSer