Discuta o que o ataque de ransomware DarkSide significa para as empresas

By | June 22, 2021

Spiros Fatouros, Diretor Executivo da Marsh Africa.

Spiros Fatouros, Diretor Executivo da Marsh Africa.

Em 10 de maio, o Federal Bureau of Investigation dos EUA divulgou um comunicado confirmando que a rede de ransomware DarkSide foi responsável por um ataque que assumiu as operações da Colonial Pipeline.

Os relatórios sugerem que o ataque de ransomware do DarkSide comprometeu os sistemas de TI da Colonial em 7 de maio, levando a Colonial a encerrar as operações do pipeline.

O Oleoduto Colonial é o maior oleoduto de combustível dos Estados Unidos, transportando mais de 100 milhões de galões ao longo da Costa Leste a cada dia e alcançando aproximadamente 50 milhões de americanos. Este fornecimento é responsável por 45% do fornecimento da Costa Leste, de acordo com a Colonial Pipeline.

Qual é o impacto?

O CEO da Marsh Africa, Spiros Fatouros, disse: “O ataque DarkSide mostra o quão impactantes os ataques cibernéticos maliciosos podem ser. Esse ataque também destaca o surgimento das chamadas franquias de ransomware, que fornecem aos hackers ferramentas sofisticadas que podem ser usadas para lançar ataques cibernéticos. Ao fornecer aos agentes de ameaças ferramentas de hacking, o ransomware-as-a-service criou uma barreira de entrada mais baixa para os invasores, levando a um aumento nos ataques. ”

No setor de energia, proprietários e operadoras protegem a infraestrutura crítica contra uma série de ameaças complexas em constante mudança. Um hacker visando uma empresa na cadeia de fornecimento de energia pode expor pontos de pressão que levam a grandes efeitos em cascata quando interrompidos, mesmo que essa não seja a intenção do invasor. Se o ransomware penetrar com sucesso nos sistemas de controle industrial, os resultados podem ser muito mais devastadores e, potencialmente, levar a resultados físicos.

O que é mais notável, entretanto, é que, quando separado de seu impacto potencialmente massivo, o ataque do pipeline DarkSide ocorreu com relativa frequência no ambiente de negócios atual. Um conhecido ator de ameaças, o DarkSide forneceu ransomware-as-a-service a uma rede afiliada de atacantes. E eles não estão sozinhos.

Marsh disse que o ransomware continua um flagelo em todas as indústrias, incluindo o setor de energia, e vai durar enquanto:

  1. As redes ainda são vulneráveis ​​a falhas no código ou erro humano.
  2. As organizações criminosas permanecem seguras nas jurisdições que promovem seus esforços.
  3. As criptomoedas permitem pagamentos anônimos de solicitações dos atores da ameaça.

O que a empresa pode fazer?

Embora as organizações não possam eliminar o ransomware como um risco, elas podem – e devem – tomar medidas proativas para se preparar para um ataque. Pense à frente sobre como você gerencia um ataque de ransomware: antes, durante e depois.

Abaixo, você encontrará um conjunto de recomendações de alto nível para ajudá-lo a fazer isso:

  • Reunindo as principais partes interessadas – gestão de riscos; segurança da informação, incluindo operações e equipes de tecnologia da informação; tesouraria / finanças; e legal, entre outras coisas – para garantir que haja consistência em como você gerencia um ataque.
  • Avalie os controles existentes e resolva as vulnerabilidades de rede e segurança identificadas. Os vetores de ataque de ransomware mais comuns no primeiro trimestre de 2021 incluíram o comprometimento do protocolo de desktop remoto (RDP) e phishing de e-mail. (Por exemplo, os agentes DarkSide obtiveram acesso por meio de phishing, aplicativos públicos e serviços remotos externos.) Portanto, a implementação de controles apropriados pode ser possível, ajude a prevenir um ataque – ou pelo menos identifique um ataque antes que os agentes da ameaça possam entrar na sua rede. Por exemplo, a identificação antecipada pode permitir que você use a tecnologia que funciona offline quando a rede corporativa está comprometida, mas antes que qualquer sistema de controle industrial seja comprometido.
  • Avalie e teste seu plano de resposta a incidentes de rede, certificando-se de que ele tem potencial para um ataque de ransomware. Você pode desenvolver um “jogo” de ransomware com atividades voltadas para responder a essa ameaça. Se a sua organização não tem um plano de resposta a incidentes ou não descreve especificamente os processos de ransomware, crie um. O plano deve ser reavaliado após um incidente com as lições aprendidas.
  • Avalie financeiramente o risco cibernético da sua organização. Isso o ajudará a priorizar os riscos cibernéticos que representam o maior impacto em seu balanço patrimonial e permitirá que você determine se esses riscos estão além de suas expectativas e / ou capacidades. Aceite o risco ou não. Isso também permite que você avalie o retorno sobre o investimento (ROI) dos produtos de segurança cibernética – bem como o risco de mantê-los ou transferi-los.
  • Avalie toda a sua carteira de seguros, incluindo a cobertura de rede, para avaliar se planos diferentes são adequados. Verifique se a cobertura cobre vários custos físicos incorridos como resultado de um ataque de ransomware, incluindo um ataque que resulta em danos físicos e / ou lesões corporais.

O que isto significa?

Você não pode eliminar completamente o risco de ataques de ransomware, mas você pode – e deve – planejá-los. A preparação é essencial e sua importância não pode ser exagerada. Ter um plano bem elaborado permitirá que sua organização reduza o impacto de um ataque por meio dos controles de segurança cibernética corretos e, potencialmente, transfira o risco residual para a segurança. A preparação eficaz pode ajudá-lo a construir uma organização resistente à cibernética e bem preparada para gerenciar ataques cibernéticos.

Marsh participou do ITWeb Security Summit em 2 de junho sobre o tópico de quantificação do risco cibernético – do gerenciamento de risco à transferência de risco.

Leave a Reply

Your email address will not be published. Required fields are marked *