Se existem histórias que merecem ser contadas, sem dúvida que a deixada pelo centro de cibersegurança do Reino Unido (NCSC) é uma delas. A autoridade revelou a história de uma empresa que foi vítima de ransomware, e como as práticas da mesma não terão sido as mais aconselhadas.
De acordo com as autoridades da NCSC, uma empresa cujo nome não foi revelado terá pago milhares de dólares em bitcoin para recuperar o acesso à sua rede e aos seus ficheiros, depois de ter sido vítima de um ataque de ransomware.
A empresa terá pago o correspondente a quase 6.5 milhões de dólares para recuperar os seus ficheiros, além de permitir que o acesso à sua rede interna pudesse voltar a ser realizado. Felizmente o grupo responsável pelo ransomware acabou por fornecer as ferramentas necessárias para desencriptar os conteúdos – algo que nem sempre acontece.
No entanto, essa empresa nada mais realizou depois do ataque ter sido finalizado, e do pagamento ter sido feito. Sem qualquer análise da origem do ataque e como este entrou na rede da empresa, esta verificou menos de duas semanas depois a ter feito o pagamento um novo ataque de ransomware, pelo mesmo grupo que a teria atacado inicialmente – obrigando a um segundo pagamento para recuperar acesso aos conteúdos.
A NCSC deixou este exemplo para alertar as empresas como não é apenas necessário recuperar do incidente, mas também identificar a origem do mesmo e corrigir a falha para prevenir futuros ataques. O simples fato de realizar o pagamento de um ataque de ransomware não indica que uma empresa se encontra livre de problemas.
Antes de tudo, o pagamento nem sempre indica que a empresa irá obter acesso aos seus conteúdos – muitos grupos podem não fornecer as ferramentas para desencriptar os ficheiros dos utilizadores, mesmo depois dos pagamentos terem sido realizados. Além disso, isso não impede que a entidade volte a ser atacada no futuro, sobretudo se a falha que levou ao ransomware ser instalado na rede não tiver sido corrigida – ou até mesmo o sistema infetado ainda se encontrar na mesma.
Além disso, o processo de recuperação dos dados e de análise da falha que originou o ataque é um processo que pode demorar semanas a ser realizado, e apesar de algumas empresas não poderem dispensar o tempo para tal, será importante de analisar para prevenir que situações similares às referidas anteriormente aconteçam.
Nenhum comentário
Seja o primeiro!