Os ataques de ransomware às empresas estão a aumentar tanto em frequência como em complexidade. Muitos no espaço de segurança acreditam que o WannaCry e o NotPetya foram apenas uma amostra do que está para vir. Cada vez mais, o Active Directory (AD) está no centro dos ataques cibernéticos, com limpadores como o MBR-ONI utilizando o AD para maximizar o alcance do ataque e, em alguns casos, limpadores como o NotPetya derrubando o AD completamente. Esta série de blogues explora histórias reais de ataques de wipers, o seu impacto no AD e o que pode fazer para tornar a sua organização mais preparada para a próxima vaga de ataques.
Lidar com um vírus Wiper: Quando o NotPetya ataca
Já se passou quase um ano desde o surto do ataque do wiper NotPetya e, durante esse tempo, tive várias conversas com analistas de sistemas cujas organizações foram atingidas pelo malware wiper. Devido ao facto de a Semperis ser uma empresa de protecção de serviços de directório, a maioria das minhas conversas gira em torno dos serviços de directório e do impacto dos ataques no contexto do AD. Em cada conversa que tive, falámos sobre o que aconteceu e o impacto na organização numa visão post-mortem. De seguida, discutimos o que foi feito para atenuar o impacto do ataque e as lições aprendidas, pelo que pensei que poderia ser benéfico para outros ouvir algumas destas histórias para estarem mais preparados para futuros ataques.
A primeira história que quero partilhar sobre o NotPetya é a de um grande fabricante da Europa Ocidental, com cerca de 10 mil funcionários, cujo Active Directory foi encriptado na sua totalidade em resultado do NotPetya. O que é surpreendente nesta história é que, a partir do momento em que o limpador começou a espalhar-se, demorou menos de 10 minutos a encriptar todos os controladores de domínio (DC) e servidores de ficheiros (FS) da empresa, com a encriptação a espalhar-se globalmente para todos os locais remotos.
Infelizmente, os servidores de backup e recuperação também foram encriptados e tiveram de ser reconstruídos a partir do zero. O ataque paralisou completamente a organização e, depois de as equipas de TI terem analisado a avaliação inicial dos danos, aperceberam-se de que este ataque não se assemelhava a nada que tivessem visto antes.
O processo de restauro que se seguiu ao ataque foi longo e complexo. Primeiro, a equipa teve de tomar algumas decisões críticas:
- O que deve ser restaurado em primeiro lugar?
Isto incluiu o mapeamento das aplicações críticas para o negócio e os componentes de infra-estrutura necessários dos quais dependem. - Para cada site, qual é o número mínimo de DCs que precisam de ser restaurados?
Além disso, foi necessário prestar especial atenção ao restauro dos servidores que se encontravam em locais com pouca largura de banda.
O primeiro passo no processo de recuperação foi a reconstrução dos servidores de cópia de segurança e de recuperação, seguido do restauro dos outros servidores a partir de cassetes, um processo que demorou vários dias com a presença de engenheiros da Microsoft no local para apoio.
O restauro dos DCs encriptados foi um processo tedioso que teve de ser executado de raiz. A equipa de TI começou por criar uma nova máquina virtual com um sistema operativo limpo, instalar o agente de recuperação, efectuar um restauro do estado do sistema, limpar o controlador de interface de rede (NIC) virtual e resolver outros problemas relacionados com o controlador após o restauro do estado do sistema.
Apesar de a equipa ter seguido os protocolos de restauro adequados, o restauro inicial do Active Directory falhou devido a um problema de reversão do número de sequência de actualização (USN) que impediu a replicação do AD. O desafio com as reversões de USN é que são muito difíceis de identificar e podem existir milhares delas, sem nenhum erro registado em lado nenhum.
Esperar o inesperado no processo de recuperação
A principal conclusão desta história é que a recuperação de um ambiente encriptado é um processo incrivelmente complexo, com muitas partes móveis a considerar.
Mesmo quando se pensa que se está verdadeiramente preparado, é difícil prever alguns dos problemas com que se pode deparar durante o restauro. Aqui estão apenas algumas formas de proteger melhor a sua organização dos efeitos de um vírus wiper:
- Prepare-se sempre para o pior cenário possível - Mesmo que pareça improvável, deve estar preparado para uma situação em que todos os seus servidores, incluindo os servidores de cópia de segurança/recuperação, tenham desaparecido. Implemente um procedimento em que a recuperação dos servidores de backup/recuperação seja o primeiro passo.
- Mapear aplicações de missão crítica e as suas dependências de infra-estrutura - Muito provavelmente as suas aplicações de linha de negócio dependem do Active Directory, mas é importante saber que outros componentes têm de ser restaurados para que a aplicação funcione.
- Certifique-se de que tem um plano testado e comprovado para restaurar o seu Active Directory - Ter uma cópia de segurança é um excelente primeiro passo, mas tem de estar ciente de que a recuperação não é um processo simples e as coisas podem complicar-se muito rapidamente. A Microsoft oferece um serviço de preparação para a recuperação do Active Directory chamado ADRES, que o pode ajudar a preparar-se para uma situação desastrosa com o seu AD.
Eliminando a dor da recuperação do NotPetya
Embora seja fundamental tomar certas medidas para proteger sua infraestrutura contra ataques de wiper, ter um plano sólido de Recuperação de Desastres em vigor é a única maneira de realmente minimizar a complexidade do processo de recuperação. A solução Active Directory Forest Recovery (ADFR) da Semperis automatiza totalmente a orquestração do processo de recuperação de desastres do Active Directory e reduz drasticamente o tempo de restauração. Ao aproveitar a inteligência interna, o ADFR é capaz de tomar decisões que resolvem uma variedade de problemas que podem surgir durante o processo de recuperação do AD DR (por exemplo, usando pontos de distribuição para superar o problema de baixa largura de banda da rede). Para obter informações adicionais sobre a recuperação de desastres do Active Directory, pode ver o nosso webinar sobre automatização da recuperação de desastres do AD e o nosso webinar sobre considerações de cópia de segurança do AD.
Fique atento ao próximo blogue da série, onde falarei um pouco mais sobre o vírus ONI e o seu efeito no Active Directory.
