Por Eur Ing Mark Hawksworth, líder do grupo de prática de especialistas em tecnologia global
Após um ataque cibernético, uma organização pode perder rapidamente o acesso a ativos e dados essenciais.
Semelhante a um incidente envolvendo ransomware, quando o malware se espalha, as organizações enfrentam inúmeros desafios do ponto de vista de reivindicações. Há evidências - inicialmente observadas no final de fevereiro - que sugerem a circulação de uma nova onda de malware destrutivo para limpeza de dados. Como podemos garantir que a história não se repita?
Preocupações recentes
Essa nova onda de malware de limpeza de dados usa, em parte, servidores comprometidos para espalhar software legítimo de gerenciamento de disco. Por sua vez, esse software é usado para corromper dados em dispositivos de mídia de armazenamento, tornando esse sistema irreparável usando técnicas tradicionais de recuperação de disco. Uma vez implantado, o malware destrutivo permite que seus autores se espalhem lateralmente pela rede corrompida antes de causar danos irreparáveis a todos os sistemas visados dentro dela. Embora inicialmente direcionado a redes específicas, esse malware tende a escapar para além dos limites do alvo originalmente designado, resultando em danos colaterais generalizados. Malwares destrutivos desse tipo podem representar uma ameaça direta às operações, impedindo o acesso a ativos e dados essenciais.
As origens desse malware ainda não foram confirmadas. As pesquisas ainda não conseguiram atribuí-lo a um único grupo ou a um agente de ameaça conhecido devido à falta de semelhanças na estrutura do código em comparação com outros malwares vistos no passado.
Práticas recomendadas futuras
O aumento dos incidentes de segurança cibernética nos últimos anos é alarmante e só vai continuar. Para as organizações de todo o mundo, é essencial entender o impacto dos possíveis incidentes de malware de destruição de dados e se planejar para eles. A conscientização e a criação de um plano podem proteger partes inocentes. Recomenda-se:
- Implemente a autenticação multifatorial para todos os pontos de acesso externos.
- Revise o nível de filtragem de spam para reduzir a possibilidade de e-mails de phishing chegarem aos usuários.
- Certifique-se de que os programas antivírus e antimalware estejam atualizados e realizem automaticamente varreduras regulares no dispositivo.
- Verifique se todas as atualizações e patches de segurança do aplicativo e do sistema operacional foram aplicados.
- Identificar estratégias de backup e garantir que os backups sejam protegidos contra corrupção/ações maliciosas. Implemente um air gap ou outro esforço estratégico para proteger os backups.
- Teste os backups de dados para garantir à organização que os backups podem ser usados para reinstalar os dados e a arquitetura comprometidos do sistema, caso eles sejam visados.
- Participe do Centro de Análise e Compartilhamento de Informações (ISAC) do seu setor - há um para a maioria das organizações: por exemplo, o FS-ISAC atende aos setores financeiro e de seguros.
- Monitore as fontes de inteligência de ameaças e garanta que todos os indicadores de comprometimento (IOCs) sejam bloqueados proativamente.
Com a evolução das ameaças, um mercado em rápida mudança e uma base de conhecimento em constante crescimento, o setor cibernético certamente continuará sendo um tema quente. Além dos riscos emergentes, continuamos a ouvir preocupações sobre cobertura e capacidade no espaço cibernético. Os especialistas da Sedgwick permanecem conectados e prontos para consultar os clientes à medida que eles buscam estratégias de prevenção, exploram a linguagem e os limites das apólices e se preparam para riscos conhecidos e desconhecidos.