O ataque de Ransomware à Renner

Facebook
Twitter
LinkedIn

Na última semana, o grupo Renner foi alvo de um grande ataque: um crime , que ocasionou diversas paradas em seus sistemas de informação e até a paralização de vários dos serviços e venda de produtos. Lojas ficaram sem funcionamento e algumas foram fechadas. Uma perda financeira, de imagem e credibilidade para a marca.

Mas o que houve?

O que obtivemos são informações divulgadas pelos principais sites de notícias e até o , que, pelo que percebemos, segue à risca o que preconiza a LGPD (Lei Geral de Proteção de Dados).

Alguns links de sites que noticiaram o fato:

Então a Renner foi alvo de um ataque de ransomware?

O comunicado da empresa não deixa claro, porém, provavelmente sim. Fontes dos sites e grupos de discussão de segurança cibernética dos quais participamos são categóricos em dizer que o ataque se deu por meio de ransomware — um tipo de vírus que “sequestra” dados.

E como isso ocorre?

De uma forma muito simples, o ransomware é inserido por criminosos em arquivos de imagens, vídeos, documentos e outros, e fica ali adormecido. Num determinado momento, ele simplesmente aproveita alguma vulnerabilidade dos dispositivos de informática e segurança do ambiente tecnológico, executa um processo de criptografia de todos os arquivos que encontra, na estação em que está, e começa a varrer toda a rede, criptografando tudo. Nesse processo de criptografia, é gerada uma chave, e, para descriptografá-la, é necessária uma chave privada, da qual só o autor do ataque dispõe. Nessa hora é disponibilizado um guia de como fazer isso. Envia-se uma amostra para o criminoso, que faz a prova mostrando que ele detém a chave. De posse disso, pode-se confiar e realizar (ou não) o pagamento para liberação dos dados criptografados. Esse pagamento normalmente é exigido em criptomoedas, dificultando assim o rastreamento do autor, e passam de milhares de dólares.

O ransomware imputado ao caso da Renner é chamado de Ransomexx. O processo dele não difere do descrito acima, a não ser pelo fato de ele ser mais novo e de que para ele não há vacina conhecida. Sim, chamamos vacina a forma como podemos reverter a situação da criptografia no sequestro de dados. Vários ransomware já possuem vacinas.

O Ransomexx tem usado dois métodos de ataque: envio de e-mails de phishing e exploração de vulnerabilidades conhecidas em ambientes Linux/VMWare ESXi. Identificamos que, no modelo de phishing, o ataque é realizado em dois passos: (1) instalação de um downloader que, ao infectar a máquina, realiza o download do arquivo ; (2) payload, que é disponibilizado via endereço de URL de arquivo com extensão .png contendo o ransomware. Um exemplo:

http://13.xxx.68.xxx/pm13/pm13.png

A Renner conseguiu restabelecer plenamente dois dias depois do ataque. Há informação de que o resgate não foi pago e de que o backup de segurança estava em dia. Note que, mesmo com backup, há necessidade de remontar, reinstalar e reconfigurar todos os servidores e serviços que foram atingidos, o que não é um processo fácil. Exigirá, do time de TI, conhecimento, tempo, profissionais qualificados, garrafas de café e várias noites . 

Uma empresa perita em computação forense deve ter sido acionada para investigar e definir as causas e ações para que o episódio tenha acontecido. Um guia de resoluções e ações deve ser estabelecido para evitar novos incidentes dessa magnitude. Ainda não se sabe se houve apenas o sequestro, ou se houve, também, vazamento de dados.

A prática de Threat Intelligence é a forma mais eficaz de responder prontamente às novas ciberameaças e deve ser realizada para buscar possíveis sinais de vazamento de dados.

Como podemos ver, nenhuma empresa está imune a ataques cibernéticos. Uma empresa como a Renner, que detém, em seu time de TI, especialistas em segurança cibernética e equipamentos de ponta, sofreu um ataque. Logo, quaisquer empresas podem ter vulnerabilidades que poderão ser exploradas. Por fim, como todo cuidado é pouco, preparamos um artigo com as 11 principais dicas para prevenir e mitigar um ataque de ransomware. Clique aqui e saiba mais.

Uma resposta

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Precisa de ajuda?

Envie-nos uma mensagem