Já todos ouvimos histórias de ataques de ransomware. Aliás, este ano que está agora a terminar foi pródigo em ataques deste tipo a larga escala, como foi o caso do famoso WannaCry, do NotPetya ou do BadRabbit. Ouvimos e lemos que o WannaCry paralisou o Serviço Nacional de Saúde do Reino Unido, que o NotPetya provocou prejuízos entre 200 a 300 milhões de euros na maior companhia de navegação do Mundo - a Maersk – e que o BadRabbit paralisou o metro de Kiev.
Na Knowledge Inside temos também dado suporte a alguns clientes cujos computadores foram afetados por um qualquer ransomware, mas têm sido casos isolados e que se resolvem com a formatação do computador e sem perda de dados para o cliente. A história que vos trago para este espaço aconteceu este mês, e não foi só um computador que ficou encriptado, foram também os documentos do servidor e os backups do disco externo… Toda a informação de mais de 20 anos de uma empresa de contabilidade!
Trata-se de uma PME que tem apenas um servidor e alguns postos de trabalho. Toda a informação está no servidor com Windows 2003 Server numa pasta partilhada por todos os colaboradores e têm dentro dessa pasta a aplicação de gestão do negócio. Fazem backups diários de toda a informação para um disco externo e para a cloud utilizando para o efeito o “NIODO Remote Backup”.
O cliente ligou para a Knowledge Inside a reportar que tinha um computador que estava com uma mensagem de erro a indicar que os ficheiros estavam encriptados e que nenhum dos restantes computadores conseguia aceder aos documentos e às aplicações do servidor.
Depois de pedirmos para desligar o cabo de rede do computador afetado deslocámo-nos ao escritório do cliente com o plano de ação bem definido, formataríamos o computador afetado e caso fosse necessário faríamos um restore do dia anterior a partir dos discos externos ou do “NIODO Remote Backup”.
Já no escritório do nosso cliente, e após uma análise mais pormenorizada verificámos que toda a pasta partilhada do servidor, incluindo os dados da aplicação de gestão da contabilidade tinham sido encriptados por um ransomware recente, o “New Arena Crysis”.
Verificámos também que os backups que estavam no disco externo tinham sido igualmente encriptados. Perante este cenário preparámo-nos para restaurar do backup que tinha sido efetuado no dia anterior através do “NIODO Remote Backup”, contudo deparámo-nos com outro problema, o cliente não sabia a password que permite fazer o restore dos dados (quando é instalado, e para efeitos de segurança e confidencialidade da informação, o cliente coloca uma password no programa). Essa password é utilizada para encriptar todo o conteúdo do backup de modo a que só com essa password seja possível o acesso aos dados e o posterior restore.
Receámos o pior e o cliente ficou em pânico quando tomou consciência de que estava prestes a perder toda a informação de negócio, confidenciou-me que, e caso não conseguíssemos recuperar a informação, poderia ter que fechar a empresa.
Trouxemos o servidor e os discos externos para a Knowledge Inside e preparámo-nos para uma maratona a tentar de alguma forma desencriptar o conteúdo dos discos e tentar descobrir a password enquanto o nosso cliente iria também procurar a password do “Niodo Remote Backup” que tinha criado uns anos antes.
Na manhã seguinte, e quando o cliente se preparava para pagar 1 Bitcoin (à data valia cerca de 8.000€) aos piratas com a esperança que estes desencriptassem a informação, conseguimos descobrir a password que o cliente tinha criado e entrar na área do “NIODO Remote Backup” e dessa forma iniciámos o restore da informação do dia anterior ao incidente.
No dia seguinte desloquei-me ao escritório do cliente para tentar perceber o que aconteceu e como o ransomware poderia ter entrado na rede. Entre outras coisas menos graves verifiquei que alguém (soube mais tarde que tinha sido um amigo do cliente) tinha publicado no router as portas de remote desktop dos computadores para a Internet de modo a que os colaboradores pudessem a partir de casa ligar-se remotamente aos seus computadores do escritório. Esta configuração, aliado ao facto de não existir uma política de passwords fortes, levou-me à forte convicção de que foi este o método para o contágio inicial.
Olhando para trás identificamos facilmente o que o cliente deveria ter implementado para reduzir a possibilidade de sofrer este ataque:
a) Deveria ter um sistema operativo suportado pela Microsoft de modo a receber mensalmente os updates de segurança. O Windows 2003 já não é suportado pela Microsoft não tendo portanto estes updates, o que o torna extremamente vulnerável a malware.
b) Permissões não segmentadas. Todos os utilizadores tinham acesso de escrita a todas as pastas partilhadas. Deveria ter sido implementada permissões mais restritas de acesso ao servidor e, dessa forma, mesmo que o computador de um utilizador fosse infetado apenas iria encriptar os documentos a que esse utilizador teria acesso.
c) Política de backups. Apesar de ter conseguido recuperar toda a informação, o cliente tinha apenas dois níveis de backup, para o disco externo e para a Cloud. Deveria ter também um backup offline, como por exemplo para uma tape ou até para um disco que não estivesse ligado ao servidor.
d) Configurações do router. Nunca, mas mesmo nunca, deveria ter aberto o protocolo de remote desktop diretamente aos postos de trabalho. Para a necessidade de trabalho remoto existem outras configurações como por exemplo a ligação prévia de uma VPN, de ligação a um servidor apenas de remote desktop, etc.
e) Não existia uma política de passwords fortes. As passwords dos utilizadores eram fracas e, portanto, facilmente descobertas.
Confesso que, mesmo após 20 anos de experiência, ainda fico surpreendido com a leveza com que muitos gestores tratam dos seus sistemas de IT. Muitas vezes seguem o caminho do facilitismo e do baixo ou nenhum investimento na atualização tecnológica, tornando os seus sistemas vulneráveis a ataques deste tipo. Os ataques de ransomware serão cada vez mais frequentes e mais elaborados tornando mais difícil a sua deteção, pelo que é fundamental que as organizações estejam em alerta constante e dotem os seus sistemas de IT de ferramentas apropriadas para a deteção e correção de deste tipo de ataques.