Desvendando o ataque cibernético administrativo
O sistema administrativo francês tem sido frequentemente alvo de hackers, resultando em consequências significativas que exigem uma contenção imediata devido à natureza sensível das informações em jogo, como os dados pessoais dos cidadãos e a perturbação de serviços públicos vitais. Um relatório recente divulgado pela ANSSI, a agência governamental de segurança cibernética, revelou que houve 187 incidentes relatados envolvendo autoridades locais entre Janeiro de 2022 e Junho de 2023, o que se traduz em aproximadamente dez incidentes por mês, em média. Para compreender melhor o alcance destes ataques, também foi criado um mapa abrangente dos ataques registados para o ano de 2023.
A Nomios, uma empresa francesa competente na gestão de tais situações, agiu prontamente para mitigar o perigo mais temido pelos prestadores de serviços de TI – um ataque de ransomware. Quando o ransomware invade, ele pode inutilizar vários sistemas de computador em um instante, tornando todos os dados armazenados inacessíveis. Ocasionalmente, estes ataques cibernéticos ocorrem durante períodos de relaxamento, como numa quinta-feira à noite, quando o ânimo tende a estar animado. No caso em apreço, cerca de quatrocentas posições foram comprometidas nos cerca de 4.000 dispositivos informáticos utilizados pela organização especificada. Os indivíduos responsáveis pela manutenção da infra-estrutura de rede são predominantemente afectados, com a possibilidade distinta de que o software malicioso se possa propagar rapidamente através do seu sistema.
Pare a proliferação de malware
Na manhã de sexta-feira, o Centro de Operações de Segurança de Nomios recebeu uma chamada urgente para frustrar imediatamente os esforços dos cibercriminosos. Face à gravidade da situação, considerou-se necessária a rápida implementação de firewalls para benefício de toda a comunidade. O município afectado serve uma população de quase um milhão de indivíduos e, portanto, tem uma responsabilidade significativa nesta matéria.
Um dos principais desafios enfrentados pelas organizações durante um ataque cibernético é gerenciar a resposta em um ambiente de caos. Segundo Pierre Haikal, engenheiro de segurança da Nomios, muitas administrações estão mal preparadas para tais situações, o que gera confusão e pressa em encontrar soluções imediatas. Isto pode resultar num tempo valioso gasto na educação de gestores individuais ou funcionários eleitos sobre os acontecimentos que se desenrolam.
O ransomware rapidamente se tornou a arma mais lucrativa dos hackers.//Fonte: Melvyn Dadure para este site
As origens da malevolência também são investigadas. Suspeita-se que a origem do problema esteja na violação da conta de rede privada virtual (VPN) de um administrador de rede. Dado que não foram implementadas medidas de verificação dupla, os intervenientes nefastos conseguiram obter acesso secretamente utilizando as informações de login do indivíduo. Embora alguns sinais de alerta tenham sido identificados pelo software antivírus, infelizmente eles não foram detectados.
Para resolver a situação rapidamente, demos o passo inicial de instalar um console remoto que nos permite obter acesso a todos os sistemas de computador. Além disso, garantimos que não existam pontos de entrada não autorizados, bloqueando todos os pontos de acesso. Para facilitar esta questão urgente, utilizamos os recursos de ponta fornecidos pela Palo Alto Networks, um líder renomado no domínio da segurança cibernética. Estas ferramentas poderosas podem ser ativadas em apenas quarenta minutos, permitindo uma resolução rápida da crise atual.
Nosso principal objetivo é identificar quaisquer dispositivos infectados dentro do parque, desconectá-los da rede e impedir acessos não autorizados. Este processo continuará por um período de aproximadamente duas semanas, a partir da ativação do ransomware. De acordo com os nossos engenheiros, houve uma extensa transferência de grandes quantidades de dados para fora do sistema durante as fases iniciais do ataque cibernético. Além disso, foi observado que os hackers não apenas mantêm arquivos como reféns, mas também os carregam para expô-los publicamente online.
Um grupo de hackers responsáveis por centenas de ataques
Os indivíduos responsáveis pelo ataque cibernético foram identificados como a notória gangue cibernética conhecida como “Play Ransomware”. Com mais de 300 organizações vítimas sob seu comando, incluindo diversas entidades francesas, o ransomware deste grupo bloqueia arquivos e os torna inacessíveis. De acordo com Pierre Haikal, especialista em recuperação de dados, uma vez bloqueados, os arquivos afetados normalmente são irrecuperáveis, a menos que existam backups alternativos. Portanto, é crucial priorizar o salvamento do máximo de dados possível antes de tentar quaisquer medidas restaurativas.
Arquivos criptografados pelo malware dos hackers.//Fonte: Nomios
Na verdade, é habitual que os cibercriminosos deixem uma mensagem nas redes infectadas que sirva como um convite para a negociação do pagamento de um resgate. Infelizmente para estes piratas em particular, eles encontraram um revés devido à política rigorosa do governo francês que proíbe qualquer forma de pagamento de resgate. Consequentemente, os hackers podem recorrer à divulgação pública de certas informações sensíveis, como faturas, relatórios e contratos, para exercer pressão, embora esta medida possa, em última análise, revelar-se inútil.
Ao receber uma notificação sobre possíveis ameaças ou violações em nossa infraestrutura de rede, nossa equipe de resposta dedicada no Nomios Security Operations Center (SOC) inicia imediatamente medidas abrangentes de higienização, instalação de barreiras de segurança avançadas e reconfiguração de identificadores de sistema. Esse processo normalmente requer uma duração de aproximadamente quatro semanas para garantir o rigor e a eficácia. Tenha certeza de que permanecemos vigilantes e comprometidos em proteger os bens da nossa comunidade durante este período.
Parece que as tecnologias de detecção e resposta de endpoint (EDR) poderiam ter detectado e alertado os agentes sobre a infiltração mais rapidamente, limitando potencialmente a propagação de ransomware. Além disso, ter um Centro de Operações de Segurança (SOC) instalado fornece uma camada extra de defesa contra tais ataques. Além disso, a implementação da autenticação multifator pode ajudar a prevenir o acesso não autorizado e mitigar o risco de esforços dispendiosos de restauração do sistema.
Conheça este site\+
Caso você tenha gostado de ler este artigo, é altamente recomendável que você explore também nossos outros artigos. Para garantir que você se mantenha informado e atualizado com nosso conteúdo mais recente, recomendamos que você se inscreva em nosso site por meio do Google Notícias.
*️⃣ Link da fonte: