Lições do ataque de Ransomware na KraussMaffei

By 12 de dezembro de 2018Sem categoria

Por: James Slaby
O recente ataque cibernético na KraussMaffei, um fabricante alemão de máquinas de moldagem para plásticos e borracha, fornece outro lembrete do crescimento, persistência e destrutividade do ransomware. Para aqueles que não estão familiarizados com ele, o ransomware é um tipo de malware que atinge e infecta servidores, estações de trabalho e dispositivos móveis, criptografa todos os dados encontrados e apresenta uma nota exigindo um pagamento online pela chave necessária para desbloquear os arquivos.

As empresas e os consumidores estão vulneráveis ​​a ataques de ransomware: os cibercriminosos usaram-no para extorquir bilhões de dólares das vítimas nos últimos anos, e prevê-se que eles obtenham outros US $ 11,5 bilhões em 2019.

Quem é o culpado?
A variante do ransomware que atacou o KraussMaffei foi particularmente virulenta, provavelmente baseada na chamada linhagem Motet. Tal como acontece com a maioria dos ataques, esta sofisticada arma cibernética faz a sua incursão inicial através de um email de phishing. Um usuário, lendo um e-mail que foi criado para parecer que é de uma fonte confiável, abre um anexo ou clica em um link que permite que o cavalo de Tróia inicial entre em um PC, tablet ou telefone.

Motet possui capacidades polimorfas, uma espécie de camuflagem adaptativa que permite evitar a detecção pela maioria dos programas antivírus. Inicialmente, o malware coleta informações sobre a configuração do sistema e as retransmite para um servidor externo de comando e controle, que analisa as defesas e vulnerabilidades do alvo. O servidor C & C, em seguida, faz o download de qualquer malware que ele conclua funcionará com mais eficiência na máquina da vítima.

O que aconteceu nesse caso?
No caso do ataque KraussMaffei, Motet optou por atacar com ransomware em vez de outras armas como um ladrão de senhas. Em seguida, ativou os recursos do worm do Trojan para espalhar o ransomware para outros sistemas da rede, explorando uma vulnerabilidade no protocolo de compartilhamento de impressoras e arquivos da Microsoft conhecido como SMB. Só foi preciso um funcionário incauto para abrir um anexo de e-mail malicioso, e o ransomware se espalhou rapidamente pela sede da KraussMaffei em Munique.

A resposta imediata do grupo de TI da KraussMaffei foi fechar vários servidores em todas as instalações de 1.800 funcionários. Mas a criptografia de ransomware já havia bloqueado servidores críticos usados ​​para controlar os processos de produção e montagem.

Impacto do ataque
O resultado até agora foi uma redução drástica, cara e constrangedora de duas semanas nas operações da fábrica. Até o momento, a fábrica está apenas “caminhando à normalidade”, de modo que seu retorno real à produção total permanece indeterminado. Isso não é incomum entre as vítimas de ataques de ransomware que são capturados sem qualquer preparação. Por exemplo, a cidade de Atlanta (Geórgia, EUA) levou meses para se recuperar de um ataque de ransomware ao custo de dezenas de milhões de dólares.

O que podemos aprender?
Há várias lições importantes, porém úteis, a serem tiradas do ataque KraussMaffei:

  • No mínimo, as empresas precisam implementar um regime robusto de proteção de dados com pontos de recuperação curtos, a fim de retomar as operações rapidamente após uma incursão de ransomware bem-sucedida. Resumindo: faça backup de seus sistemas regularmente, armazene algumas cópias de backup fora do local para que uma infecção de ransomware que se espalha na rede não corrompa todos os backups e faça isso com frequência suficiente para que, quando você precisar restaurar sistemas de backups, suas perdas de dados não é muito caro. O fato de a fábrica de KraussMaffei, em Munique, ainda não ter voltado à produção plena após duas semanas sugere que eles nem mesmo tinham essa rede básica de segurança.
  • Os usuários continuam sendo um elo fraco crítico na luta contra o ransomware. Com mais treinamento de conscientização de segurança de funcionários, aquele funcionário inocente da KraussMaffei pode ter ficado mais atento à possibilidade de estar sendo violado e, portanto, não abrir o anexo ou link infectado. Treine seus colegas para estarem atentos a ameaças de malware, especialmente a rota de entrada mais popular para ransomware, considerando os anexos de e-mail e links incorporados com muito cuidado.
  • As empresas devem reconhecer as limitações das soluções antivírus herdadas que dependem da correspondência de assinaturas para detectar ameaças de malware. Essas defesas analisam qualquer novo processo que tente rodar em um sistema e o compara a um banco de dados de software conhecido antes de permitir sua execução. Essa abordagem é ineficaz contra novas ameaças que ainda não foram identificadas em outro lugar, nem contra malware polimorfo como o Motet. Os desenvolvedores de ransomware também são adeptos de produzir novas variantes a uma taxa que os fornecedores de antivírus não conseguem acompanhar. Isso significa que as defesas anti-malware devem ser reforçadas com medidas que possam identificar o ransomware pela forma como ele se comporta, e não por sua assinatura. O Acronis Active Protection faz exatamente isso, usando inteligência artificial e aprendizado de máquina para identificar e encerrar rapidamente ataques de ransomware, mesmo cepas de dia zero
    (anteriormente desconhecidas).

O custo do ransomware
O resultado é que o ransomware continua sendo a ameaça de malware que mais cresce no mundo. Ele pode ter recuado das manchetes dos últimos meses em favor de novas ameaças, como cryptojacking, mas ainda é a arma cibernética de escolha para criminosos on-line em todo o mundo. A queda nas contas de imprensa pode ser atribuída ao fato de que não houve uma recente epidemia global de ransomware, como o notório surto de WannaCry de 2017.

As empresas também podem ficar mais inteligentes em manter as incursões de ransomware longe dos holofotes, temendo corretamente a consequente perda de reputação, preço das ações e confiança do cliente que pode acompanhar as notícias de um ataque bem-sucedido. Mas relatórios após relatórios de pesquisadores de segurança tecnológica confirmam que o ransomware ainda está no topo da lista de ameaças ativas de malware atualmente.

Pensamentos finais
Para cada desligamento da KraussMaffei sobre o qual você leu, há, sem dúvida, dezenas de outras, das quais as empresas estão tentando desesperadamente se recuperar. Para evitar que sua empresa se torne uma dessas vítimas, considere o Acronis Backup. Com o Acronis Active Protection integrado, proporciona total proteção cibernética – tornando-o o backup de negócios mais seguro disponível.

Fonte: https://www.acronis.com/en-us/blog/posts/sobering-lessons-kraussmaffei-ransomware-attack