.
Recurso patrocinado Em agosto de 2023, as subsidiárias de hospedagem dinamarquesas CloudNordic e AzeroCloud foram vítimas de um dos ataques de ransomware mais graves já divulgados por uma empresa de serviços em nuvem.
Durante o incidente, o CloudNordic sofreu uma eliminação completa da criptografia que levou consigo aplicativos, serviços de e-mail, sites e bancos de dados, e até mesmo servidores de backup e replicação. Numa admissão francamente memorável, a empresa disse que todos os dados dos clientes foram perdidos e não seriam recuperáveis.
Às centenas de empresas meios de comunicação dinamarqueses relatado como tendo perdido dados no incidente, isso deve ter parecido incrível. Certamente os provedores de serviços deveriam oferecer proteção, e não vulnerabilidade ainda maior? As coisas estavam tão ruins que a CloudNordic até ofereceu aos clientes instruções de último recurso sobre como recuperar o conteúdo perdido do site por meio do arquivo digital Wayback Machine. A empresa teria se recusado a pagar o resgate exigido pelos invasores, mas mesmo que tivesse pago, não há garantia de que teria feito alguma diferença.
Os ataques de ransomware custam muito hoje em dia e as causas são diversas. Mas a suposição que todo cliente faz é que por trás da infraestrutura de máquina virtual (VM) de um provedor de serviços existe um plano abrangente de proteção de dados e recuperação de desastres (DR). Apesar do conhecimento comum de que o ransomware tem como alvo sistemas de backup e recuperação, ainda existe uma crença generalizada de que as mesmas proteções sempre serão úteis e evitarão perdas catastróficas de dados. O ataque CloudNordic é um aviso de que nem sempre é esse o caso. Sem dúvida, ambas as empresas tinham backup e proteção de dados, mas isso não foi suficiente.
“O ataque e seu resultado não são tão extraordinários”, argumenta o diretor global de marketing técnico de produtos da Zero, uma empresa da Hewlett Packard Enterprise. “Isso provavelmente acontece mais do que imaginamos. O que é incomum neste incidente é simplesmente que o provedor de serviços foi aberto sobre o fato de seus backups terem sido atacados e excluídos.”
Isso é o que o ransomware fez com organizações em todo o país. Eventos antes vistos como extremos e incomuns tornaram-se comuns. Nada parece seguro. As suposições tradicionais sobre backup e resiliência de dados estão sofrendo. A resposta deveria ser uma detecção e resposta mais rápidas, mas o que isso significa na prática?
A ilusão de backup
Ao responder a um ataque de ransomware, o tempo é essencial. Em primeiro lugar, a escala e a natureza da incursão devem ser avaliadas o mais rapidamente possível, ao mesmo tempo que se localiza a sua origem para evitar a reinfecção. Quando isso estiver ao alcance, a prioridade em setores sensíveis ao tempo será colocar vários sistemas de VM novamente on-line o mais rápido possível. Muitas vezes, as organizações não dispõem de ferramentas para gerir estes processos em grande escala ou utilizam ferramentas que nunca foram concebidas para lidar com um cenário tão extremo.
Eles então recorrem a uma mistura de tecnologias, a mais importante das quais é o backup. As lacunas nesta abordagem estão bem documentadas. Confiar no backup pressupõe que os invasores não desativaram as rotinas de backup, o que em muitos incidentes do mundo real eles conseguem fazer com bastante facilidade. Isso deixa o backup offline e imutável, mas esses arquivos geralmente são antigos, o que significa que os dados mais recentes são perdidos. Até chegar tão longe leva possivelmente dias ou semanas de tempo e esforço.
Incapazes de contemplar um longo atraso, algumas empresas sentem que não têm outra opção senão arriscar pagar o resgate na esperança de resgatar os seus sistemas e dados dentro de um prazo razoável.
“As organizações pensaram que poderiam recuperar rapidamente, mas descobriram que não conseguem recuperar dentro do prazo esperado”, explica ele. “Eles pagam porque acham que isso vai aliviar a dor de uma paralisação mais longa”.
Mas mesmo essa abordagem ainda é uma aposta de que os invasores devolverão mais dados do que serão recuperados usando sistemas internos de backup e recuperação, ressalta Cole. Em muitos casos, rotinas de backup foram configuradas, mas não testadas adequadamente. Em condições reais, um backup mal concebido normalmente será insuficiente, como evidenciado pelo número de vítimas que acabam por pagar.
“O backup foi projetado para um caso de uso diferente e não é ideal para proteção contra ransomware”, diz ele. “O que as organizações devem investir é na recuperação cibernética e na recuperação de desastres adequadas.”
No final, o backup é insuficiente porque, mesmo quando funciona conforme anunciado, o prazo pode ser extremamente perturbador.
Alcançando resiliência contra ransomware
Foi o feedback dos clientes que usaram a solução Zerto para recuperação de ransomware que incentivou a empresa a adicionar novos recursos adaptados a este caso de uso. A base da solução Zerto é sua tecnologia de proteção contínua de dados (CDP), com sua replicação e tecnologia exclusiva de journaling, que alcançou versão 10 no início deste ano. A resiliência contra ransomware é uma parte cada vez mais importante deste conjunto, como evidenciado pela adição na versão 10 de um sistema de anomalias em tempo real que pode detectar que os dados estão sendo criptografados maliciosamente.
A interceptação antecipada da criptografia do ransomware não apenas limita sua propagação, mas também torna possível descobrir quais volumes ou VMs estão ruins e quando foram infectados, para que possam ser rapidamente revertidos para qualquer um dos milhares de pontos de restauração limpos.
“É uma análise de anomalias e padrões. Analisamos a E/S do servidor por volume para ter uma ideia de qual é a linha de base no nível de máquinas virtuais, aplicativos e dados”, explica Cole. “Dois algoritmos são usados para avaliar se algo incomum está acontecendo e se desvia desse estado normal.”
Um elemento importante disso é que o Zerto não tem agente, o que significa que não há nenhum processo de software que os invasores possam desativar para impedir que o backup e a replicação aconteçam nas costas da vítima.
“Parece pequeno, mas é uma grande vantagem”, diz Cole. “Muitas variantes de ransomware procuram uma lista de agentes de backup e segurança, desativando qualquer um que encontrem protegendo uma VM. É por isso que confiar em um agente de backup representa uma fraqueza potencial.”
Um segundo recurso avançado é o Cofre de resiliência cibernética Zerto, uma solução totalmente isolada e isolada, projetada para lidar com os ataques mais graves em que o ransomware infectou a principal infraestrutura de produção e backup. Zerto enfatiza que isso não oferece nenhum ponto de comprometimento para os invasores – a replicação da produção por meio de um espelho CDP de ‘zona de destino’ acontece periodicamente por meio de uma porta de replicação criptografada validada por FIPS, em vez de uma interface de gerenciamento que pode expor o Vault a comprometimento.
A possibilidade de um compromisso total parece extrema, mas Cole salienta que a utilização desta arquitectura está a ser obrigatória para os serviços financeiros pela SEC nos EUA, e noutros locais por um número crescente de apólices de seguros cibernéticos. A ideia que informa os reguladores é que as organizações devem evitar a possibilidade de um único ponto de falha.
“Se tudo explodir, você tem cópias que são intocáveis pelos atores da ameaça e que eles nem sabem que existem?”, postula Cole. “No caso do Cyber Resilience Vault, ele nem faz parte da rede. Além disso, o Vault também mantém protegida a própria solução Zerto – proteção de dados para o sistema de proteção de dados.”
Retrocesso de ransomware
Os perigos de usar backup como escudo contra interrupções de ransomware são ressaltados pela experiência do TenCate Protective Fabrics. Em 2013, este fabricante especializado em têxteis tinha vários servidores numa das suas fábricas encriptados pelo infame Ransomware CryptoLocker. Sendo estes os primeiros dias do ransomware industrial, o poder paralisante da criptografia em massa teria sido um choque. A Tencate tinha backups, mas perdeu 12 horas de dados e foi forçada a enviar muitos de seus dados recuperáveis a terceiros para uma reconstrução lenta. No final, demorou duas semanas para voltar a funcionar.
Em 2020, uma versão diferente do CryptoLocker voltou para uma segunda mordida na empresa, desta vez com resultados bem diferentes. A essa altura, Tencate estava usando Zerto. Depois de perceber que uma de suas VMs havia sido infectada, a equipe de segurança simplesmente reverteu para um ponto de verificação de restauração antes da infecção. Graças ao CDP da Zerto, a perda total de dados foi de apenas dez segundos e a VM foi recuperada em minutos.
Segundo Cole, a experiência da TenCate mostra como é importante investir em um CDP que possa oferecer um grande número de pontos de recuperação em milhares de VMs com suporte para multi-cloud.
“Combinado com a detecção de criptografia, isso significa que você pode reverter rapidamente, iterando por pontos de recuperação que podem estar separados por apenas alguns segundos, até encontrar um que não esteja comprometido.”
Embora a perda de serviço não seja o único problema que o ransomware causa às suas vítimas, a incapacidade de executar aplicações e processar dados é onde sempre começa o dano económico imediato. Durante muito tempo, a única solução foi manter os invasores afastados. Mas quando essas defesas falham, como certamente acontecerão um dia, é melhor falhar com estilo, diz Cole.
“A escolha não é apenas pelo backup, como as pessoas passaram a saber”, aconselha. “A proteção contínua de dados e os cofres isolados de recuperação cibernética são o futuro que qualquer um pode ter agora.”
Patrocinado por Zerto.
.
