Sean Deuby | Tecnólogo principal

O mais recente desenvolvimento na saga do ataque NotPetya de 2017 deve ser um lembrete para as organizações de que basta um punhado de cibercriminosos para derrubar todas as suas operações.

Na semana passada, o Departamento de Justiça dos EUA anunciou acusações, incluindo fraude informática e conspiração, contra seis piratas informáticos do grupo cibercriminoso conhecido como Sandworm, que são membros confirmados da agência de inteligência militar russa GRU.

Acredita-se que o Sandworm esteja por detrás de ataques que desactivaram parte da rede eléctrica da Ucrânia em 2016, interferiram nas eleições francesas de 2017, destruíram computadores utilizados nos Jogos Olímpicos de Inverno de 2018 e, sobretudo, são responsáveis pelo famoso ataque NotPetya.

O ataque NotPetya afectou organizações em 65 países em todo o mundo, causando um prejuízo estimado em 10 mil milhões de dólares. Um exemplo dessas organizações que foi manchete é a maior empresa de transporte marítimo do mundo, a Maersk. De acordo com os relatórios, a rede da Maersk foi paralisada numa questão de minutos e os danos causados pelo malware ficaram completos numa hora. A Maersk perdeu todos os seus servidores de controlo de domínio Active Directory (AD) online, juntamente com as suas cópias de segurança. A sua salvação foi um controlador de domínio desligado no seu escritório de Accra, no Gana. 

A Maersk demorou nove dias a recuperar o AD. O CISO da Maersk, Andy Powell, foi citado como tendo dito: "Nove dias para uma recuperação do Active Directory não é suficiente, devemos aspirar a 24 horas; se não conseguirmos, então não podemos reparar mais nada."

A história foi abordada no site wired.com pelo famoso jornalista de cibersegurança e autor de Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers, Andy Greenberg. Recentemente, tivemos a oportunidade de nos sentarmos com Andy na conferência 2020 Conferência sobre proteção de identidades híbridas e discutir o que as organizações podem aprender com ataques cibernéticos destrutivos como NotPetya, e como pensar em uma estratégia de fallback. Andy enfatizou que "ainda mais do que a defesa, concentre-se na resiliência. Você pode não ser capaz de evitar um ataque, mas pode estar pronto para responder a um e se recuperar".

Leitura relacionada

Lições aprendidas: Está preparado para o próximo "NotPetya"?  

O NotPetya ocorreu não há muito há muito tempo e a maioria dos CISOs de hoje estava a trabalhar no sector das TI, de alguma forma, quando ocorreu. A Maersk foi bastante transparente sobre o quanto foi afectada pelo NotPetya, ao ponto de os detalhes sobre a empresa ter perdido completamente o seu Active Directory terem sido incluídos em quase todos os artigos técnicos que cobriram o ataque. Poder-se-ia pensar que os CISOs tomassem nota e que a estratégia de recuperação do AD fosse diferente actualmente.

No entanto, a maioria das organizações ainda não tem um plano para garantir a capacidade de recuperação do AD.

É certo que se fazem cópias de segurança e que existem soluções de segurança para sustentar uma postura de segurança preventiva adequada, mas as organizações actuais ainda não estão preparadas para um ataque ao AD do calibre do NotPetya.

De acordo com a nossa publicação recente Recuperação do Active Directory contra desastres cibernéticos 84% das organizações admitem que a perda de controladores de domínio AD como parte de um ataque cibernético teria um impacto significativo, grave ou catastrófico na organização.

As cópias de segurança desempenham certamente um papel numa estratégia de recuperação de desastres, mas com o AD a representar o único ou o principal serviço de identidade em 58% das organizações, é imperativo que esteja preparado para essa perda "catastrófica" do AD. O NotPetya provou que isso pode acontecer. E, no entanto, pouco mais de dois terços (68%) das organizações não têm um plano de recuperação do AD, têm um plano mas não o testaram ou não o testaram no prazo de um ano. 

Com base no ataque NotPetya e em ciberataques mais recentes ciberataques que envolvem o AD, existem alguns tipos de tácticas de ataque direccionadas para o AD que deve esperar e que seu plano de resposta deve abordar:

  • AD Manipulação-A capacidade do AD de fornecer acesso a recursos e controlo sobre utilizadores e pontos finais coloca-o nos locais dos cibercriminosos. É necessário ser capaz de de devolver o seu AD a um bom estado conhecido e estado de segurança conhecido
  • AD Disponibilidade-Ino ataque ao Maersk ataqueo registo mestre de arranque de cada Controlador de Domínio foi encriptado, tornando-os não podem ser inicializados. Tem de ser capaz de recuperar tudo a partir de um único controlador de domínio até toda a floresta (com todas as suas complexidades) sem arriscar a reintrodução de malware.
  • Sem cópias de segurança do AD-Muitas estirpes de ransomware têm como alvo o serviço Volume Shadow Copy da Microsoft, ficheiros de cópia de segurança por tipo de ficheiro e até tentam aceder a soluções de cópia de segurança através da API. No mínimo, a regra regra de cópia de segurança 3-2-1 aplica-se aqui com uma cópia mantida fora do local. E para as organizações que reconhecem o AD como a carga de trabalho crítica que é, ter uma solução que se concentre na recuperação da floresta do AD cria uma estratégia de resposta em camadas. Desta forma, pode contar com a capacidade de correcção, mesmo que não existam cópias de segurança viáveis.

O velho ditado adaptado "aqueles que não se lembram do passado estão condenados a repeti-lo" ainda soa verdadeiro. E, se é uma das organizações que não aprendeu com a experiência da Maersk na recuperação do NotPetya, a acusação da Sandworm deve servir como um lembrete de que chegou o momento de começar a planear o próximo grande ciberataque ocorrer.