Ataque de Ransomware: Universidade paga US$ 220.000 para criminosos

Ataque de ransomware: Universidade paga US$ 220.000 para criminosos

A Universidade de Maastricht, na Holanda, pagou quase US$ 220.000 em bitcoin para restaurar sistemas críticos que foram atingidos por um ataque de ransomware no ano passado.

Ao afetar os servidores de arquivos, e-mail e backup, o ataque cibernético provocou um desligamento em toda a rede e colocou em risco dados valiosos de pesquisa e operações comerciais, revelou a universidade holandesa em entrevista coletiva na quarta-feira (5 de fevereiro).

Os investigadores também encontraram evidências de que os invasores – que se acredita serem do grupo russo de crimes cibernéticos TA505 – obtiveram dados de topologia de rede, nomes de usuário e senhas.

Nick Bos, vice-presidente do conselho da universidade, disse a jornalistas que as redes da universidade foram violadas pela primeira vez em 15 e 16 de outubro, quando dois e-mails de phishing foram abertos em dois computadores.

Em 21 de novembro, os invasores comprometeram vários servidores, por meio de um servidor cuja última atualização de segurança falhou, obteve direitos administrativos totais à infraestrutura de rede.

O ransomware – uma variante chamada ‘Clop’ que foi descoberta pela primeira vez em fevereiro de 2019 – se espalhou para 267 servidores Windows.

A universidade tomou conhecimento da invasão quando os computadores exibiram as demandas de resgate em 23 de dezembro.

Um porta-voz da universidade disse ao The Daily Swig que os administradores de rede da universidade holandesa desligaram os sistemas dentro de alguns dias e notificaram a polícia em 26 de dezembro.

Em 30 de dezembro, eles decidiram pagar o resgate de 30 bitcoin. As taxas de câmbio históricas situam esse valor em torno de US$ 217.000.

“Barganha do diabo”

A empresa de segurança cibernética contratada para investigar a violação, a Fox-IT, publicou um relatório detalhado (PDF) sobre o incidente.

De acordo com comentários traduzidos e incluídos no relatório, Bos reconheceu “objeções éticas” ao concordar com a “barganha do diabo”, mas disse que a universidade, depois de consultar os órgãos de supervisão, decidiu que as consequências de não pagar o resgate eram grandes demais.

“Fazer ou ter um ‘decodificador’ você mesmo é, segundo os especialistas, impossível ou levará muito tempo”, disse ele.

A alternativa, disse ele, era “reconstruir todos os sistemas infectados” e anular certos dados críticos irrecuperáveis.

“Levaria (muitos) meses para que as operações de educação, pesquisa e negócios da UM estivessem parcialmente em funcionamento novamente”, disse ele.

O pesquisador independente de segurança Martijn Grooten disse ao The Daily Swig que simpatizava com a situação da universidade.

“O post-mortem da Fox-IT do incidente aponta para vários erros que foram cometidos”, disse Grooten.

“Mas, acima de tudo, mostra que tarefa incrivelmente difícil é defender redes desse tamanho contra o tipo de atacante que a Universidade de Maastricht teve que lidar: é provável que sejam cometidos erros e os atacantes pacientemente passam meses tentando explorá-los.

“Eu aconselharia aqueles que trabalham no lado de segurança do fornecedor a se absterem de fazer comentários presunçosos sobre o que deveriam ter feito”.

Ataque de ransomware: Universidade paga US$ 220.000 para criminosos
Ataque de ransomware: Universidade paga US$ 220.000 para criminosos.

Lições aprendidas

A Fox-IT post-mortem recomenda que a universidade implemente um sistema de backup offline, segmente a arquitetura da rede e os direitos do usuário, estenda o monitoramento de logs e redes, aprimore o gerenciamento de vulnerabilidades e patches e aprimore o conhecimento das ameaças de phishing entre a equipe.

Ironicamente, o lançamento pela universidade de um centro de operações de segurança 24 horas por dia, em 1º de janeiro, havia sido planejado antes do ataque.

Bos disse que estão em andamento discussões com outras instituições de ensino sobre o estabelecimento de um serviço conjunto de monitoramento de segurança 24 horas e inteligência sobre ameaças.

O relatório disse que as investigações até agora não encontraram evidências de que os invasores tenham extraído qualquer pesquisa e dados pessoais.

Bos também refletiu sobre a escala do desafio à frente: “Uma universidade deve se defender contra essa forma de crime com recursos limitados e com uma preferência explícita por abertura e acessibilidade. É uma corrida em que você, como instituição, é testado até os seus limites. ”

Um porta-voz da universidade disse ao The Daily Swig que “tudo volta ao normal”, além de “talvez alguns sistemas menores não funcionem em toda a sua extensão”.

Traduzido e adaptado de: portswigger.net

Compartilhe este post

Facebook
Twitter
LinkedIn
WhatsApp