CISO da Maersk diz que NotPeyta devastou várias empresas americanas sem nome

Views: 496
0 0
Read Time:7 Minute, 3 Second

Pelo menos duas empresas podem ter sofrido ainda mais danos do que a gigante da remessa, que perdeu quase toda a sua infraestrutura global de TI.

O ataque de malware NotPetya 2017 sem precedentes à gigante mundial do transporte marítimo Maersk foi bem documentado, mas, de acordo com o principal executivo de segurança cibernética da organização, várias outras empresas sofreram danos iguais ou até mais devastadores, mas ainda não revelaram publicamente os incidentes.

Falando na Black Hat Europe 2019, o diretor de segurança da informação da AP Moller Maersk, Andrew Powell, disse acreditar que, globalmente, aproximadamente 600 empresas foram danificadas pelo NotPetya na época do ataque de Maersk. Powell disse que isso ocorre porque a origem do ataque remonta a um aplicativo chamado MEDoc, um aplicativo financeiro que o governo ucraniano exige essencialmente que qualquer empresa use se estiver fazendo negócios no país.

Segundo relatos publicados, o NotPetya foi o elemento-chave em uma campanha de ataque cibernético patrocinada pelo Estado-nação, visando o governo da Ucrânia. Em vez disso, o malware provou ser muito mais virulento.

“Qualquer empresa que faça negócios na Ucrânia e solicite uma declaração de imposto [em 2017] foi atingida”, disse Powell. “Grandes empresas nos EUA foram atingidas com força, duas delas mais difíceis do que nós”. Powell se recusou a nomear as empresas e não deu detalhes sobre como ele ficou sabendo dos incidentes de NotPetya dessas outras organizações. No total, as estimativas indicam que o ataque e o esforço de recuperação custaram à Maersk quase US $ 300 milhões até o momento.

Os relatórios publicados indicam que o NotPetya causou estragos em todo o mundo em quase todos os setores. Nos EUA, a gigante farmacêutica Merck e a FedEx perderam mais de US $ 300 milhões da NotPetya como resultado de limpeza e perda de negócios.

Powell, um antigo executivo de segurança da informação, trabalhou anteriormente como vice-presidente da Capgemini e passou quase 30 anos na Royal Air Force do Reino Unido, inclusive atuando como CIO.

“Não estávamos sozinhos”, disse Powell. “A Maersk é uma das poucas empresas que tem sido transparente sobre o que aconteceu. Não tentamos disfarçar ou fugir dele.”

No entanto, era possível argumentar que Maersk tinha pouca escolha. A companhia de navegação com sede em Copenhague, que transporta aproximadamente 20% de todas as remessas globais, se viu praticamente paralisada pela NotPetya em questão de minutos.

Ataque Maersk NotPetya: O que aconteceu
Em retrospecto, disse Powell, Maersk não estava bem preparado para lidar com um ataque tão sofisticado e incapacitante quanto o NotPetya. No início de 2017, ele disse, sua maturidade em segurança cibernética, como muitas empresas de manufatura e logística, era relativamente baixa. Embora os processos digitais tenham se tornado críticos para as operações diárias da Maersk, as redes de computadores e a infraestrutura de servidores não eram consideradas de missão crítica; o que realmente importava, segundo a empresa, eram seus ativos físicos de alto perfil, como portos, navios e contêineres. Portanto, os ativos digitais eram minimamente protegidos.

Assim, quando um usuário da Maersk em seu escritório em Odessa foi infectado, ele se espalhou pela rede global da Maersk mais rapidamente do que se imaginava possível.

“Dentro de sete minutos”, disse Powell, “a maior parte do dano foi causado”.

E esse dano foi impressionante. De acordo com Powell, o NotPetya destruiu 49.000 laptops, mais de 1.000 aplicativos, todos os sistemas de impressão e compartilhamento de arquivos foram desativados, seu barramento de serviço corporativo e os servidores de gerenciamento em nuvem VMware vCenter foram arruinados e seus servidores DHCP e Active Directory foram inúteis.

Powell acrescentou que o que provou ser especialmente devastador foi que ambos os sistemas primário e de backup do Active Directory foram retirados, um cenário que a Maersk nunca pensou ser possível. “O [NotPetya] foi projetado para destruir backups online especificamente, impedindo a recuperação usando métodos de backup online”, afirmou Powell. “Não tínhamos cópias do nosso Active Directory. Pensávamos que não tínhamos nada para reiniciar a rede”.

Como a Maersk se recuperou
Felizmente, ocorreu um golpe de sorte quando os líderes de TI descobriram que o escritório da empresa em Lagos havia sofrido uma queda de energia durante o ataque da NotPetya. Seus sistemas de TI – incluindo sua cópia do Active Directory da empresa – não sofreram danos. O nó do Lagos AD foi removido fisicamente, levado para Copenhague e usado para reconstruir o restante da rede. No entanto, o processo de recuperação do AD levou mais de uma semana. Claramente, disse Powell, era um cenário que a Maersk deveria ter planejado. “Nove dias para uma recuperação do Active Directory não são bons o suficiente”, disse Powell. “Você deve aspirar a 24 horas; se não puder, não poderá reparar mais nada”.

Enquanto isso, durante esse período, a Maersk não tinha como saber o que havia em seus milhões de contêineres em todo o mundo ou como entregá-los em seus destinos. O resultado foi uma enorme cascata de interrupções na cadeia de suprimentos que se espalharam pelo mundo. Um conhecido varejista europeu, Powell observou como exemplo, depende da Maersk para quase todas as suas remessas. Na sequência da NotPetya, o varejista arriscou ficar sem roupas para vender em suas lojas.

Os processos físicos de recuperação de comando e controle da empresa eram muito mais capazes, e Powell disse que a empresa iniciou esses processos para manter rapidamente o controle de seus ativos cinéticos, priorizando o gerenciamento de seus envios com temperatura controlada.

Do ponto de vista de TI, Powell ficou surpreso que a solução que se mostrou mais útil durante a recuperação foi o WhatsApp. Os funcionários se conectaram rapidamente em seus dispositivos móveis pessoais e usaram grupos do WhatsApp para compartilhar informações, discutir problemas, desenvolver soluções e compartilhar com outras pessoas para colocá-las em ação.

“Os funcionários criaram grupos de acordo com o modo como operavam”, disse Powell, acrescentando que se mostrou um revestimento de prata após o incidente. “Usamos o WhatsApp para ajudar a reconstruir nossos processos de negócios e, finalmente, o ataque nos ajudou a redesenhar nossos negócios”.

Lições aprendidas
Powell, que ingressou na Maersk em junho de 2018 após o ataque, disse que talvez a lição mais importante aprendida seja a de que as organizações devem direcionar mais recursos de TI para a recuperação do sistema, especialmente os recursos de backup offline. “Confie em mim, é a melhor coisa para investir”, disse Powell, “porque as armas cibernéticas de alto nível nacional eliminarão tudo o que você tem online”.

Manter e garantir a integridade dos dados também deve ser um foco dos programas de segurança cibernética. Powell também disse que os atacantes valorizam cada vez mais os dados sobre a infraestrutura e, embora qualquer campanha de ataque possa parecer focada na destruição de dados, a realidade é que os adversários percebem cada vez mais que há mais valor em roubar os dados simultaneamente e vendê-los posteriormente ao maior lance.

Powell disse que as tecnologias específicas que a Maersk descobriu que se beneficiam do emprego pós-ataque incluem detecção e resposta de terminais, gerenciamento de acesso privilegiado e uma plataforma de inteligência contra ameaças. Além de qualquer produto específico, no entanto, a Maersk procura fazer da cibersegurança um inquilino principal de suas operações diárias no dia-a-dia. Como parte desse esforço, todos os funcionários da empresa agora são treinados em segurança cibernética, incluindo o que fazer durante uma crise de segurança cibernética.

“Em dinamarquês, segurança e proteção são a mesma palavra”, afirmou Powell. “Portanto, faz sentido colocar a segurança cibernética em nossa mentalidade de segurança. E isso realmente está valendo a pena para nós”.

A abordagem “detectar e impedir” atingiu seu potencial. Os atacantes aprenderam como contornar esse método de defesa.Trazido a você por Menlo Security

Powell observou que, embora a Maersk tenha melhorado drasticamente sua postura de segurança cibernética desde o ataque do NotPetya, é fundamental entender que a Maersk ou qualquer outra organização pode ser atingida por um ataque cibernético igualmente debilitante a qualquer momento. Não apenas as armas cibernéticas em nível de estado-nação estão caindo nas mãos de adversários por procuração, mas esses adversários provavelmente já estão dentro da maioria das organizações, disse ele. “Reconhecemos pelo menos três [estados-nação] que usaram um proxy para entrar em nossa rede nos últimos seis meses, e eles estão fazendo isso em todo o mundo”.

FONTE: DARK READING

POSTS RELACIONADOS