Oslo, Noruega. O telefone tocou às 4 da manhã. Thorstein Gimnes São respondidas ao sino antes do amanhecer com medo rompendo a sonolência. E após as primeiras palavras do interlocutor, o medo apenas se intensificou.
"Parece que eles estão nos atacando", disse o especialista em TI da
Norsk Hydro , uma das maiores empresas de alumínio do mundo. Algumas de suas 170 plantas pararam as linhas de produção. Outros objetos passaram do controle do computador para o manual.
Na sala de controle de uma planta de extrusão na Noruega. A Hydro suspendeu temporariamente a produção em várias fábricas na Europa e nos EUA após o ataque.
Más notícias. E então ficou pior.
A invasão do sistema de segurança em março do ano passado afetou todo mundo na Norsk Hydro: 35 mil funcionários em 40 países. Arquivos em milhares de servidores e computadores pessoais acabaram bloqueados. Dano financeiro atingiu US $ 71 milhões
Tudo começou três meses antes, quando um dos funcionários abriu um email infectado de um cliente confiável. Isso permitiu que os hackers penetrassem na infraestrutura de TI e apresentassem secretamente seus vírus.
Desligando, Guimnés Are, responsável pela segurança da informação na Norsk Hydro, imediatamente ligou para o chefe do serviço de preparação para emergências e fez uma ligação de emergência naquela manhã.
“Foi uma emergência em larga escala da empresa”, lembra Guimnes Are. - Os profissionais de TI já desconectaram a rede e os servidores para evitar maior distribuição. Mas não entendemos direito o que estava acontecendo ".
Logo o nome do vírus ficou conhecido: LockerGoga, uma das variantes do programa ransomware. Ele criptografou arquivos em computadores, laptops e servidores em toda a empresa e exibiu uma mensagem de solicitação de resgate.
Bem-vindo! - leia a mensagem. - Seus arquivos são criptografados usando os algoritmos militares mais poderosos. Só temos um decodificador para descriptografar seus dados. ”
Na mensagem, a empresa exigiu um resgate em bitcoins e alertou: "O preço final depende da rapidez com que você entrar em contato conosco".
Em uma reunião de emergência, a gerência da Norsk Hydro tomou três decisões operacionais: não pague o resgate, chame a equipe de segurança cibernética da Microsoft para ajudar a restaurar os sistemas e seja completamente aberto sobre esse incidente.
A terceira dessas soluções
foi elogiada por especialistas em segurança de todo o mundo porque foi contra a prática usual de muitas organizações que ocultam informações sobre hackers.
Altos funcionários conduziam webcasts diariamente e respondiam a perguntas. Os executivos deram entrevistas coletivas diárias na sede de Oslo, publicaram notícias no Facebook, convidaram repórteres para as instalações de produção e até lançaram um novo site da empresa pela primeira semana após a descoberta de um ataque.
Ransomware atacando a Norsk Hydro.
"A transparência é a base da cultura da Norsk Hydro", disse Halvor Molland, vice-presidente sênior de relações com a mídia. Ao publicar honestamente e prontamente informações sobre o que está acontecendo, a empresa procurou, em particular, violar as táticas de sombra dos cibercriminosos e, possivelmente, impedir ameaças semelhantes.
"Queríamos ajudar os outros a aprender com nossas experiências", disse Molland. "Assim, as pessoas poderão se preparar melhor para essas situações e não passar pelo que tivemos que passar".
Nas primeiras horas do incidente, a Norsk Hydro procurou ajuda da
Equipe de Detecção e Resposta da Microsoft (DART), que viaja ao local para apoiar as empresas sob ataque e conduz investigações remotas.
"Este caso recebeu um nível de seriedade máximo", diz Jim Meller, membro do DART e especialista em ataques cibernéticos. Meller foi enviado para a Hungria, em uma pequena cidade perto de Budapeste, onde está localizada uma das maiores plantas de alumínio da Norsk Hydro. A produção foi deixada sem acesso aos serviços de rede.
Uma das muitas coletivas de imprensa da Hydro realizadas durante o ataque.
Meller passou três semanas na Hungria, criando uma equipe de engenheiros e arquitetos regionais. Segundo ele, a tarefa inicial da equipe era ajudar a empresa a restaurar e retomar as operações e serviços de negócios. Outros membros do DART voaram para Oslo. "Sob nossa liderança, a Norsk Hydro conseguiu eliminar a lacuna com a qual o atacante foi capaz de lançar um ataque", diz Meller.
Eles estudaram o vírus LockerGoga ransomware, que também
atacou a empresa de engenharia e consultoria Altran Technologies na França e duas empresas industriais americanas - Hexion em Ohio e Momentive em Nova York.
De acordo com Gimnes Are, em Oslo, um grupo de investigadores forenses em tempo integral e freelancers descobriu que, em dezembro de 2018, os hackers usaram um arquivo anexado como uma arma cibernética enviada por um funcionário de um cliente considerado confiável para um funcionário da Norsk Hydro durante a correspondência regular por e-mail.
"Eles incluíram instruções para instalar o Trojan no computador do funcionário da Hydro neste anexo", disse Guimnes Are. - Nosso antivírus detectou esse programa de Trojan alguns dias depois. Mas já era tarde demais. Naquela época, o vírus já estava entrincheirado no sistema. ”
Meller disse que, a princípio, o vírus comprometeu usuários comuns da rede de computadores Norsk Hydro e depois apreendeu as credenciais de administrador, o que permitiu que hackers gerenciassem toda a infraestrutura de TI.
"Quando os invasores ganharam o controle do ambiente, eles decidiram distribuir o ransomware por meio de distribuição manual dos controladores de domínio Norsk Hydro", disse Meller.
"Este foi outro exemplo de uma estratégia recente em que um grupo atacante usa uma ameaça persistente constante (
Ameaça Persistente Avançada, APT) para introduzir outro malware na esperança de monetização mais rápida a um custo menor", disse Meller.
No entanto, a Norsk Hydro não pretendia pagar um único bitcoin a hackers ou negociar a recuperação de arquivos bloqueados. Em vez disso, a empresa decidiu recuperar seus dados usando servidores de backup confiáveis.
"O que você receberá se pagar um resgate em tal situação?" Gimnes perguntou. - Talvez você retorne os dados criptografados se o invasor fornecer a chave. Mas a recompra não ajudará a restaurar a infraestrutura da empresa: todos os servidores, todos os computadores, todas as redes. ”
“O resgate não vai ajudar você a sair da situação. Você precisará reconstruir sua infraestrutura para garantir que o invasor não permaneça nela ”, acrescentou.
Eric Derr é gerente geral do
Microsoft Security Response Center . Esse centro protege os clientes contra danos causados por vulnerabilidades nos sistemas de segurança dos produtos e serviços da Microsoft, além de refletir rapidamente os ataques ao Microsoft Cloud. Derr incentiva fortemente as organizações de ataques cibernéticos a serem o mais aberto possível em relação a incidentes.
"A Norsk Hydro deu o exemplo para todos na resposta a incidentes", disse Derr. - Não pagar o resgate e usar o DART para descobrir a situação para expulsar invasores é uma excelente solução. Compartilhar conhecimentos adquiridos com o mundo não tem preço. Quando as empresas fazem isso, tudo nos torna melhores e os atacantes trabalham mais. ”
“É claro que algumas empresas que enfrentam ataques de ransomware podem ficar tentadas a pagar aos invasores para retornar os dados roubados. Mas pagar um resgate aos hackers não garante que a empresa possa recuperar os perdidos ”, disse Ann Johnson, vice-presidente corporativa de soluções de segurança cibernética da Microsoft, cuja equipe supervisiona o DART.
"Existe uma maneira mais inteligente - siga o plano da Norsk Hydro", diz Johnson. - Seus dados são um ativo estratégico para você e para os cibercriminosos. É por isso que os hackers querem obter seus dados. É por isso que seus dados devem ser protegidos e armazenados como backups. ”
"Ao mesmo tempo, as empresas devem investir em segurança cibernética", enfatiza.
"Na Norsk Hydro, o departamento de TI está trabalhando para aumentar a conscientização de segurança entre seus funcionários", disse Molland, vice-presidente de relações com a mídia. Isso inclui o envio de e-mails de teste aos funcionários para ajudá-los a reconhecer
truques comuns de phishing , como páginas de login falsas e anexos maliciosos.
"Se uma empresa não prestar atenção suficiente à segurança cibernética", adverte Johnson, "os atacantes se tornarão seus" clientes regulares ".
"Provavelmente, você viu placas em cafés de rua que diziam" Não alimente os pássaros ". Se os pássaros são alimentados, eles retornam ao local onde acharam mais fácil conseguir comida. O mesmo conceito se aplica aos cibercriminosos, diz Johnson. "Se eles souberem que você tem uma proteção fraca, eles usarão essas fraquezas repetidamente."
“A melhor defesa é a combinação certa de ações, processos e tecnologias humanas. Recomendamos implementar a autenticação multifator, um processo robusto de atualização e backup de dados ”, acrescentou.
Os funcionários da fábrica da Norsk Hydro na Noruega trabalham com registros em papel para executar manualmente os pedidos dos clientes durante um ataque cibernético.
Em março passado, na Hungria e na Noruega, os membros do DART ajudaram a Norsk Hydro a desenvolver procedimentos seguros para recuperar servidores com configurações de segurança aprimoradas. Segundo Meller, eles também familiarizaram a empresa com as ameaças existentes e o comportamento conhecido dos atacantes para ajudar a reduzir o risco de futuros ataques.
Na Norsk Hydro, o trabalho interno após o incidente foi realizado em várias frentes. A empresa mudou para métodos antigos para retomar a produção completa e restaurar as operações comerciais. Além disso, eles trabalharam para garantir a segurança dos funcionários e o meio ambiente.
“Dirigimos equipamentos pesados. Se perdermos o controle, isso colocará em risco a segurança das pessoas e poderá levar a incidentes graves ”, disse Molland, vice-presidente de relações com a mídia. - Segurança é sempre a coisa mais importante para nós. Em segundo lugar, a preocupação com o meio ambiente e a prevenção de emissões descontroladas na atmosfera, solo e água devido a paradas súbitas da máquina. ”
Os executivos escreveram à mão avisos de um ataque cibernético, fotografaram em smartphones e os enviaram aos gerentes das fábricas e escritórios da Norsk Hydro em todo o mundo. Os funcionários de campo imprimiram anúncios em papel nas gráficas locais e os penduraram em varandas, lances de escadas e elevadores, para que os funcionários pudessem lê-los quando chegassem ao trabalho.
“Por favor, não conecte nenhum dispositivo à rede Hydro. Não ligue nenhum dispositivo conectado à rede Hydro. Por favor, desconecte os dispositivos da rede Hydro ”, leia os avisos com uma assinatura simples:“ Serviço de Segurança ”.
Os operários da Hydro Factory em Portland operam manualmente equipamentos para atender aos pedidos dos clientes durante a fase inicial de um ataque cibernético.
Todo o pessoal nos primeiros dias após a detecção do ataque trabalhou em registros em papel. Algumas plantas mudaram para o controle manual para atender às ordens de produção. Funcionários aposentados familiarizados com o antigo sistema de papel retornaram voluntariamente às suas fábricas para apoiar a produção.
"A maneira como nos reunimos para superar a situação e voltar à produção foi um treinamento extremo de criação de equipes", disse Molland.
"Nossa empresa possui uma metodologia organizada de preparação para emergências que define ações no nível corporativo, no setor de negócios e no nível da planta", acrescentou. "Funcionou a nosso favor." Quando fomos atingidos, fomos capazes de lidar de forma construtiva e ordenada com a situação. ”
"Em outras palavras, a prevenção é importante, mas bloquear todos os invasores não deve ser a única prioridade de segurança da empresa", diz Joe De Wliger, diretor de TI da Norsk Hydro.
"Se os hackers quiserem entrar, eles farão isso", disse De Wliger. "Agora temos um sistema aprimorado de resposta a incidentes e, se isso acontecer novamente, estaremos muito melhor preparados para limitar os danos ao longo do tempo e do território".
A Norsk Hydro relatou o incidente ao Serviço Nacional de Investigação Criminal da Noruega (Kripos). "A investigação está em andamento", diz Molland.