Uma empresa que foi vítima de um ransomware e pagou milhões aos hackers para recuperar os arquivos esqueceu de um “pequeno” detalhe e acabou tendo seus arquivos criptografados novamente.
O caso foi contado pela National Cyber Security Center (NCSC) do Reino Unido, revelando que a empresa pagou a bagatela de 6,5 milhões de libras, aproximadamente 47 milhões de de reais pela chave para descriptografar e restaurar sua rede.
Depois de pagar a grande quantia os hackers voltaram após duas semanas e ao perceberem que a empresa nada tinha feito para proteger a rede, eles resolveram criptografar os arquivos novamente.
Empresa paga resgate em Bitcoin e deixa por isso mesmo
A empresa que não teve o nome revelado se preocupou em pagar os hackers em Bitcoin para restaurar a rede e recuperar os arquivos, mas se esqueceu de proteger a rede para que o problema não voltasse a acontecer.
A empresa, portanto, apenas pagou os hackers e deixou por isso mesmo, se esquecendo de analisar e entender como os hackers invadiram a rede e criptografaram os arquivos.
Ao se ver sem saída no segundo ataque, a empresa não teve outra opção a não ser pagar o resgate uma segunda vez.
“Uma organização que pagou um resgate (um pouco menos de £ 6,5 milhões com as taxas de câmbio de hoje) e recuperou seus arquivos (usando um descriptografador fornecido), sem nenhum esforço para identificar a causa raiz e proteger sua rede. Menos de duas semanas depois, o mesmo invasor atacou a rede da vítima novamente, usando o mesmo mecanismo de antes, e reimplantou seu ransomware. A vítima sentiu que não tinha outra opção a não ser pagar o resgate novamente.”
Alerta para vítimas de ransomware
O NCSC fala do incidente como um alerta para outras empresas, e a lição é que, se você for vítima de um ransomware, descubra primeiro como os hackers entraram na rede e como eles agiram.
Priorize uma defesa e resolva qualquer problema da rede, tire os computadores da rede e se for preciso busque ajuda especializada. Afinal, os hackers costumam deixar backdoors nos servidores que invadem justamente para voltar mais tarde.
“Para a maioria das vítimas que chegam ao NCSC, sua primeira prioridade é – compreensivelmente – recuperar seus dados e garantir que seus negócios possam operar novamente. No entanto, o verdadeiro problema é que o ransomware costuma ser apenas um sintoma visível de uma intrusão de rede mais séria que pode ter persistido por dias”
Analisar a rede após um ataque e descobrir como ela foi invadida com sucesso é, portanto, algo que as empresas vítimas de ransomware devem priorizar, além disso, pagar os hackers geralmente não é uma boa opção, pois eles podem negar a chave e pedir mais dinheiro.
A empresa de segurança reforça que as empresas devem fazer backups regulares de seus sistemas e arquivos. No caso de um ataque de ransomware bem-sucedido, a rede poderá ser restaurada com o mínimo de interrupção possível.