Na última semana, o grupo Renner foi alvo de um grande ataque: um crime , que ocasionou diversas paradas em seus sistemas de informação e até a paralização de vários dos serviços e venda de produtos. Lojas ficaram sem funcionamento e algumas foram fechadas. Uma perda financeira, de imagem e credibilidade para a marca.
Mas o que houve?
O que obtivemos são informações divulgadas pelos principais sites de notícias e até o , que, pelo que percebemos, segue à risca o que preconiza a LGPD (Lei Geral de Proteção de Dados).
Alguns links de sites que noticiaram o fato:
- https://www.cisoadvisor.com.br/renner-recupera-sistemas-e-volta-ao-ar-48h-apos-ataque/
- https://economia.uol.com.br/noticias/redacao/2021/08/20/procon-sp-notifica-lojas-renner-apos-ataque-cibernetico-que-atingiu-bancos.amp.htm
- https://www.cisoadvisor.com.br/ransomexx-assina-ataque-as-lojas-renner/
- https://neofeed.com.br/blog/home/exclusivo-renner-sofre-ataque-hacker/
- https://www.tecmundo.com.br/seguranca/223158-ransomware-ataque-comum-entre-empresas-brasileiras-2021.htm
- https://api.mziq.com/mzfilemanager/v2/d/13154776-9416-4fce-8c46-3e54d45b03a3/ef0e74ac-12cb-1de0-ca7a-fa0f17dbf5db?origin=1
- comunicado oficial da empresa
Então a Renner foi alvo de um ataque de ransomware?
O comunicado da empresa não deixa claro, porém, provavelmente sim. Fontes dos sites e grupos de discussão de segurança cibernética dos quais participamos são categóricos em dizer que o ataque se deu por meio de ransomware — um tipo de vírus que “sequestra” dados.
E como isso ocorre?
De uma forma muito simples, o ransomware é inserido por criminosos em arquivos de imagens, vídeos, documentos e outros, e fica ali adormecido. Num determinado momento, ele simplesmente aproveita alguma vulnerabilidade dos dispositivos de informática e segurança do ambiente tecnológico, executa um processo de criptografia de todos os arquivos que encontra, na estação em que está, e começa a varrer toda a rede, criptografando tudo. Nesse processo de criptografia, é gerada uma chave, e, para descriptografá-la, é necessária uma chave privada, da qual só o autor do ataque dispõe. Nessa hora é disponibilizado um guia de como fazer isso. Envia-se uma amostra para o criminoso, que faz a prova mostrando que ele detém a chave. De posse disso, pode-se confiar e realizar (ou não) o pagamento para liberação dos dados criptografados. Esse pagamento normalmente é exigido em criptomoedas, dificultando assim o rastreamento do autor, e passam de milhares de dólares.
O ransomware imputado ao caso da Renner é chamado de Ransomexx. O processo dele não difere do descrito acima, a não ser pelo fato de ele ser mais novo e de que para ele não há vacina conhecida. Sim, chamamos vacina a forma como podemos reverter a situação da criptografia no sequestro de dados. Vários ransomware já possuem vacinas.
O Ransomexx tem usado dois métodos de ataque: envio de e-mails de phishing e exploração de vulnerabilidades conhecidas em ambientes Linux/VMWare ESXi. Identificamos que, no modelo de phishing, o ataque é realizado em dois passos: (1) instalação de um downloader que, ao infectar a máquina, realiza o download do arquivo ; (2) payload, que é disponibilizado via endereço de URL de arquivo com extensão .png contendo o ransomware. Um exemplo:
http://13.xxx.68.xxx/pm13/pm13.png
A Renner conseguiu restabelecer plenamente dois dias depois do ataque. Há informação de que o resgate não foi pago e de que o backup de segurança estava em dia. Note que, mesmo com backup, há necessidade de remontar, reinstalar e reconfigurar todos os servidores e serviços que foram atingidos, o que não é um processo fácil. Exigirá, do time de TI, conhecimento, tempo, profissionais qualificados, garrafas de café e várias noites .
Uma empresa perita em computação forense deve ter sido acionada para investigar e definir as causas e ações para que o episódio tenha acontecido. Um guia de resoluções e ações deve ser estabelecido para evitar novos incidentes dessa magnitude. Ainda não se sabe se houve apenas o sequestro, ou se houve, também, vazamento de dados.
A prática de Threat Intelligence é a forma mais eficaz de responder prontamente às novas ciberameaças e deve ser realizada para buscar possíveis sinais de vazamento de dados.
Como podemos ver, nenhuma empresa está imune a ataques cibernéticos. Uma empresa como a Renner, que detém, em seu time de TI, especialistas em segurança cibernética e equipamentos de ponta, sofreu um ataque. Logo, quaisquer empresas podem ter vulnerabilidades que poderão ser exploradas. Por fim, como todo cuidado é pouco, preparamos um artigo com as 11 principais dicas para prevenir e mitigar um ataque de ransomware. Clique aqui e saiba mais.
Uma resposta