Empresa vítima de ransomware paga cibercriminosos e depois volta a cair no mesmo ataque

Uma empresa, da qual não teve o nome divulgado, foi vítima de um ataque de ransomware, pagou milhões em bitcoin pela chave de descriptografia para restaurar sua rede e recuperar seus arquivos e, duas semanas depois, voltou a ser vítima do mesmo grupo de cibercriminosos. O caso da empresa foi contado no blog da agência National Cyber Security Center (NCSC), do Reino Unido.

Segundo o alerta da NCSC, a vítima foi infectada e pagou duas vezes pela liberação de sua rede e suas informações porque não tomou as devidas precauções a partir do primeiro ataque, deixando de analisar como os cibercriminosos conseguiram se infiltrar na sua rede.

“Ouvimos falar de uma organização que pagou um resgate (um pouco menos de £6,5 milhões com as taxas de câmbio de hoje) e recuperou seus arquivos (usando o descriptografador fornecido), sem nenhum esforço para identificar a causa raiz e proteger sua rede. Menos de duas semanas depois, o mesmo atacante atacou a rede da vítima novamente, usando o mesmo mecanismo de antes, e reimplantou seu ransomware. A vítima sentiu que não tinha outra opção a não ser pagar o resgate novamente”, disse a NCSC em seu blog, que detalhou o ataque como uma lição para outras organizações.

Além de remover o ransomware e recuperar os dados, as empresas devem estar atentas às vulnerabilidades que permitiram a entrada do malware, para evitar que novos ocorram.

“Para a maioria das vítimas que chegam à NCSC, sua primeira prioridade é – compreensivelmente – recuperar seus dados e garantir que seus negócios possam operar novamente. No entanto, o verdadeiro problema é que o ransomware costuma ser apenas um sintoma visível de uma intrusão de rede mais séria que pode ter persistido por dias, e possivelmente mais”, disse a postagem no blog de um líder técnico da NCSC para gerenciamento de incidentes.

Mesmo com o ransomware removido e o sistema dos backups restaurado, os invasores ainda podem ter acesso backdoor à rede, provavelmente ter privilégios de administrador, e poderiam facilmente reimplantar o ransomware se quisessem, de acordo com a NCSC.

O pagamento pela recuperação de dados não costuma ser recomendado, embora pareça ser a forma mais rápida de restaurar a rede. No entanto, “a recuperação de um incidente de ransomware raramente é um processo rápido”, diz a agência. “A investigação, a reconstrução do sistema e a recuperação de dados geralmente envolvem semanas de trabalho”. Além disso, a vítima, além de pagar pelo resgate, ainda gasta – potencialmente milhões – para analisar o ataque e restaurar uma rede danificada.

Para ajudar a mitigar ataques de malware e ransomware, a NCSC forneceu orientações detalhadas, dividindo o conselho em duas seções: impedir a ameaça em primeiro lugar e reduzir o impacto de um ataque quando ele acontece.