Ataque de ransomware: o dia em que meu mundo parou

Avast SMB Customer 28 jun 2018

O ransomware ganhou as manchetes, mas como fica um escritório de uma pequena empresa quando isso acontece? Uma pessoa vai contar sua história.

“Você se sente invadido e vulnerável. Era sua empresa, o filho dele, e tudo poderia estar perdido graças a alguns cibercriminosos que procuravam um punhado de dinheiro”.

Nomes como Bad Rabbit, WannaCry e CryptoWall foram notícia devido ao enorme impacto que os ataques de ransomware tiveram. Os cibercriminosos causaram prejuízos a pessoas e empresas da ordem de US$ 5 bilhões em 2017 e a previsão é de aumento dessa cifra em 2018 para US$ 11,5 bilhões. Somente a Avast bloqueou 132.000.000 ataques de ransomware em 2017.

A maioria das pessoas sabe como o ransomware funciona, exigindo um resgate, mas como é quando você e sua empresa são as vítimas? Qual é a sensação quando o chefe anuncia: “estamos sendo atacados”?

Conversamos com Chris* que nos ofereceu um exemplo do que acontece quando um ransomware ataca sua empresa. Essa é a história dele, uma representação detalhada dos quatro dias que ele nunca vai esquecer.

“Não foi um acontecimento apenas… Ele foi se desdobrando”, ele diz.

*O nome de Chris foi alterado e alguns detalhes foram omitidos ou alterados para proteger a identidade dos envolvidos.

O prólogo

“Éramos uma start-up [na Europa] que vendia produtos online de luxo para clientes em todo o mundo.

“Eu era o chefe de marketing naquela época. Embora trabalhasse com mídia digital há muito tempo, meu conhecimento técnico não era muito grande. Mas, como lidávamos com dados sigilosos, eu sabia que deveríamos ter alguma proteção. Não temos informações de cartão, mas temos nomes, endereços de e-mail e endereços físicos.

“Você é tão forte quanto seu elo mais fraco”.

“Achava que tinha um compromisso com nossos clientes para cuidar dos seus dados e mantê-los privados. Além disso, você pode receber seguro por perda de dados, mas a cobertura depende do seu nível de proteção.

“O CEO se via como um especialista em TI e era muito cauteloso com qual segurança tínhamos implantada. Eu acho que ela era muito básica e não cobria toda a empresa. Era apenas os serviços prontos que vêm com os computadores quando você compra. Mas era o que tínhamos…”

Ransomware-attack-1

Dia 0: O dia anterior

“Ele começou como um dia normal. À tarde, perto do final do dia de trabalho, algumas pessoas descobriram que não conseguiam abrir certos documentos. Eu não tinha nenhum problema porque, como trabalho com marketing, estava usando principalmente serviços em nuvem e redes sociais. Eram mais as pessoas das contas e aquelas que lidavam com consultas dos clientes. Pessoas que achavam que havia algum defeito e que no dia seguinte bastaria ligar novamente os computadores e tudo estaria funcionamento normalmente. Então, ninguém se importou muito com isso.

Ransomware-attack-2

Dia 1: O ataque

“Na manhã seguinte, todos chegaram normalmente e ligaram seus computadores. Dessa vez, ninguém conseguia abrir nenhum documento. Quando você clicava em um arquivo, um documento de texto estranho abria e havia um monte de código nele que não fazia sentido. Podíamos ver que os arquivos não eram do tipo que costumavam ser, mas arquivos de imagem feitos para parecer com os originais.

“Nosso CEO apareceu quando todos estavam perguntando se outras pessoas tinham problema para abrir documentos do servidor. As pessoas respondiam “Sim”, “Pois é”, “Eu também”.

“Ele foi para sua mesa em nosso escritório sem divisórias e ligou o seu computador. Alguns minutos depois, ele falou um palavrão e deu um murro na mesa. Depois, se levantou e cobriu a boca com a mão. Ele ficou parado lá por uns 10 a 15 segundos. Depois gritou para todos: “Certo, todos desliguem seus computadores, cabos de rede, tudo. Agora!”

“Ele era muito imponente, então quando ele dizia para fazer algo, todos faziam. Todos podíamos ouvir a agitação e pânico em sua voz. Além disso, não era normal ele se comportar dessa maneira, por isso, sabíamos imediatamente que algo estava errado. Todos começaram a entrar debaixo de suas mesas para desligar tudo.

O e-mail

“Depois que terminamos, ele nos reuniu na sala de reuniões. Ele nos disse que tinha recebido um e-mail de cibercriminosos que dizia: “Invadimos seu servidor e bloqueamos seus documentos. Pague € 15.000 em moeda virtual para recuperá-los. Como gesto de boa vontade e para provar que podemos recuperar seus documentos, liberaremos dois documentos de sua escolha.” Nossa empresa tinha três dias para decidir.

“Ele nos perguntou: “Alguém teve algum problema com e-mails ou sites suspeitos?” Nossa Chefe de Operações disse que tinha recebido uma fatura como PDF, mas ela descobriu depois de abrir que era para outra empresa. Ela respondeu ao remetente para explicar isso e não teve mais resposta. Nosso CEO disse, “Por que ninguém me contou?!”, mas ninguém deu bola para isso na época. Ela recebia dezenas de e-mails de nossos clientes (endereços de e-mail desconhecidos o tempo todo) e isso não era estranho.

“Ficamos pensando se parte do problema foi não ter desligado o computador depois disso, dando aos cibercriminosos 12 horas antes que ela voltasse ao trabalho, para que eles passassem por nosso antivírus rudimentar e entrassem no servidor. A maioria de nós tem algum tipo de antivírus gratuito em nossos computadores, mas nem todos. Quando você está conectado a uma rede, o seu nível de proteção é medido pelo seu elo mais fraco.

“Nós baixamos imediatamente software antimalware e antivírus gratuito, enquanto procurávamos por uma solução permanente.

“Nosso chefe respondeu aos cibercriminosos solicitando que um documento fosse liberado e foi então que começamos a receber mais e mais e-mails de cibercriminosos: ameaças por e-mail.

Os cibercriminosos

“Parecia que os ataques foram automatizados e eles talvez tivessem centenas, ou milhares, de vírus funcionando em servidores e redes. Depois, quando o CEO respondeu o e-mail que solicitava que os documentos fossem liberados, os cibercriminosos sabiam que alguém fisgou a isca.

“Inglês com certeza não era a primeira língua deles. Todas as palavras estavam escritas corretamente, mas a gramática estava errada. Notamos coloquialismos e gírias na tradução e tivemos a impressão de que os cibercriminosos eram relativamente jovens, entre vinte e trinta anos.

Ransomware-Attack-3

 

Dia 2: O dano

“Éramos uma start-up e € 15.000 era muito dinheiro. Os chefes se reuniram para avaliar quanto valiam os dados: os dados em si, o tempo de agrupá-los, informações dos clientes, registros antigos de vendas, ativos: vídeo, fotos dos produtos. Também pensamos: “Se pagarmos, eles vão achar que a gente é fraco e vão tentar de novo?” Então, havia o custo de se livrar daquilo, o que quer que aquilo fosse, e adquirir o que precisávamos para nos proteger no futuro.

“Enquanto decidíamos o que fazer, algumas pessoas saíram para comprar computadores para continuar operando nossos negócios. Ainda conseguíamos aceitar pedidos, mas tínhamos que recorrer ao papel e caneta para registrar as transações.

O medo

“As pessoas no escritório estavam preocupadas de verdade, pois isso não dizia respeito apenas à empresa, mas a seus dados pessoais. Muitas pessoas usavam seus laptops e celulares na rede. Isso deu chance aos cibercriminosos de acessar seus dados pessoais? Fotos de casamento que talvez não tinham backup? Informações de transações bancárias na internet, informações de redes sociais? Nós infectaríamos nossos familiares e amigos através de nossos e-mails pessoais? Nós ligamos para amigos e familiares para dizer “não abram nenhum e-mail que enviei nos últimos dias”.

Ramificações

“Nós sabíamos também que precisávamos conter isso. Nosso CEO disse para não contar para ninguém. Naquele momento estávamos procurando investimento externo e sabíamos que aquilo prejudicaria nossas chances de conseguir. Nós pensamos: “Quem investiria em uma empresa insegura que gastou € 15.000 em resgate?” Especialmente se pensassem que aquilo podia acontecer novamente. Mas e nossos clientes? O que dizer a eles? Eram os seus dados, e-mails, endereços, etc.

“Descobrimos que nosso sistema de e-mail não havia sido infectado e que podíamos usá-lo como fonte de muitos dados perdidos. Também tínhamos os dois documentos que o cibercriminoso liberou.

“Nosso CEO conseguiu negociar com eles. Ele disse que éramos uma start-up pequena e não tínhamos € 15.000, então eles precisavam aceitar € 10.000. Um desconto! Imaginamos que eles queriam apenas algum dinheiro rápido, então aceitariam qualquer coisa. Era dinheiro de graça para eles.

Ransomware-attack-4 

Dia 3: A decisão, o plano

“Depois de discutir muito, tomamos uma decisão: não íamos pagar aos cibercriminosos, mas estávamos expostos. Precisávamos ficar limpos e protegidos antes do prazo final (antes que eles percebessem que não pagaríamos nada a eles), para que não pudessem mais causar nenhum dano. Nós pensamos que as informações que eles tinham, embora fossem importantes para a gente, não tinha nenhum valor para outras pessoas. Os cibercriminosos não ganhariam nada se as divulgassem. Isso nos prejudicaria, mas o objetivo deles era dinheiro e não castigar alguma empresa aleatória.

“Tínhamos 24 horas até o prazo final e precisávamos estar prontos.

“Podíamos ver todos os arquivos criptografados no servidor, por isso, sabíamos quais documentos precisávamos reconstruir.

O plano

“Era essencial implantar e colocar a segurança em funcionamento, por isso, atualizamos imediatamente o software antivírus para as versões premium, pagas.

“Ligamos para um especialista em TI que veio naquele dia dar uma olhada no servidor. Ele desconectou tudo, limpou e garantiu que o novo software era uma barreira forte o bastante para poder nos defender de futuros ataques.

“Não precisávamos substituir o servidor, mas precisávamos comprar um segundo, para servir de backup. Esse servidor faria o backup do servidor principal no final de cada dia e depois se desconectaria para ficar protegido.

“Eu não conversei com o especialista, mas parecia que ele aparentemente conhecia tudo sobre esse tipo de ameaça. Ele disse ao nosso CEO: “Cada vez mais recebo ligações sobre esse tipo de problema”. Ele disse que, em última análise, é um ataque realmente complicado que é fácil de se proteger se você pagar pelo antivírus correto, pois então você tem uma empresa trabalhando para garantir que você esteja em segurança. Uma proteção antivírus não é tangível ou visível, então parece distante de você e, como você não está conectado a ela, muitas pessoas a ignoram: como nós”.

Ransomware-attack-5 

Dia 4: Ressaca – Contando o prejuízo

É difícil saber exatamente quanto dinheiro perdemos. O cara do TI custou € 4.000. Quase o mesmo para o servidor. Ninguém no escritório trabalhou por três ou quatro dias, até que todos os documentos antigos fossem recriados. Embora ainda pudéssemos aceitar pedidos no site, não era possível processá-los, então houve atrasos para os clientes. Doze pessoas continuaram sendo pagas enquanto não podíamos gerar nenhuma renda. Pode parecer pouco para uma empresa maior, mas era muito dinheiro para uma start-up.

O custo humano

“Nosso CEO disse que se sentia doente e que tudo estava contaminado. Ele foi assaltado uma vez, quando estava em casa e disse que isso era igual: alguém que ele não queria que entrasse invadiu sua casa, pegou suas coisas e o ameaçou. Emocionalmente, é a mesma coisa. Você se sente invadido e vulnerável. Era a empresa dele, o "filho" dele, e tudo poderia estar perdido graças a alguns cibercriminosos que procuravam um punhado de dinheiro.

“Isso afetou muito também a equipe. Todos estavam definitivamente nervosos sobre todo o acontecimento. Todos estávamos muito cautelosos em abrir e-mails e conscientes de desligar nossos computadores no final do dia. Levou muito tempo para que as pessoas voltassem a conectar dispositivos pessoais no Wi-Fi do trabalho.

“Implantamos um protocolo caso alguém sentisse que algo estava errado com os computadores.

“Embora fosse a Chefe de Operações que tenha aberto a porta, não houve acusações. Todos sabíamos que poderia ter sido qualquer um de nós.

Antivírus: adore/odeie

“É engraçado: as pessoas odeiam esses pop-ups de atualização do antivírus na tela, mas nós nos sentíamos mais seguros. Como se não estivéssemos abandonados. Nós também não nos sentíamos pessoalmente responsáveis por nossa segurança cibernética, ou pelo menos, não desacompanhados.

“Eu trabalhei na empresa por vários meses depois do ataque e nunca mais tivemos esse tipo de problema.

Epílogo: Conselho para pequenas empresas e start-ups

“Eu diria apenas:

Vale a pena?

“Você precisa compreender quais são seus ativos mais valiosos. Para algumas empresas, são ações e relacionamentos, mas para muitas, são os dados. Se for, você precisa garantir que seus dados estejam protegidos. Isso significa que seus laptops e tablets são muito importantes, pois eles são o portão de entrada para seus dados.

As pequenas empresas ESTÃO em risco

“Muitas pequenas empresas acham que são pequenas e que ninguém vai incomodá-las, mas os cibercriminosos não usam essa tática. Os vírus podem atacar qualquer um, porque a tecnologia os permite.

“Um ataque de ransomware de € 15.000 pode afundar uma pequena empresa. Ele quase nos afundou. Uma empresa maior é capaz de absorver esse custo ou contra-atacar. Os cibercriminosos sabem que aqueles que têm seu próprio negócio farão de tudo para protegê-lo. Eles também sabem que são mais vulneráveis pois a segurança cibernética não é uma prioridade. Ela também pode parecer cara para uma PME (pequenas e médias empresas). Por isso, os cibercriminosos visam pequenas empresas. Elas são dinheiro fácil”.

Concluindo, recomendamos proteger os dispositivos em sua empresa. Clique aqui para obter mais informações sobre proteção antivírus para terminais para pequenas empresas.

--> -->