Por Eur Ing Mark Hawksworth, líder do grupo de práticas especializadas em tecnologia global
Na sequência de um ciberataque, uma organização pode perder rapidamente o acesso a activos e dados críticos.
À semelhança de um incidente envolvendo ransomware, quando o malware se propaga, as organizações são confrontadas com inúmeros desafios do ponto de vista dos sinistros. Existem provas - inicialmente observadas no final de fevereiro - que sugerem que está a circular uma nova vaga de malware destrutivo que elimina dados. Como é que podemos garantir que a história não se repete?
Preocupações recentes
Esta nova vaga de malware de limpeza de dados utiliza, em parte, servidores comprometidos para espalhar software legítimo de gestão de disco. Por sua vez, este é utilizado para corromper dados em dispositivos de armazenamento, tornando o sistema irreparável através de técnicas tradicionais de recuperação de disco. Uma vez implantado, o malware destrutivo permite que os seus autores se espalhem lateralmente através da rede corrompida antes de causar danos irreparáveis a todos os sistemas visados dentro dela. Embora inicialmente dirigido a redes específicas, este malware tende a escapar para além dos limites do alvo originalmente designado - resultando em danos colaterais generalizados. Este tipo de malware destrutivo pode representar uma ameaça direta às operações, impedindo o acesso a bens e dados críticos.
As origens deste malware continuam por confirmar. A investigação ainda não conseguiu atribuí-lo a um único grupo ou a um agente de ameaça conhecido devido à falta de semelhanças na estrutura do código quando comparado com outro malware visto no passado.
Melhores práticas futuras
O aumento dos incidentes de cibersegurança nos últimos anos é alarmante e vai continuar. Para as organizações de todo o mundo, é essencial compreender o impacto de - e planear - potenciais incidentes de malware de destruição de dados. A consciencialização e a criação de um plano podem proteger partes inocentes. Recomenda-se:
- Implementar a autenticação multi-fator para todos os pontos de acesso externos.
- Rever o nível de filtragem de spam para reduzir o potencial de e-mails de phishing que chegam aos utilizadores.
- Certifique-se de que os programas antivírus e antimalware estão actualizados e efectuam automaticamente análises regulares ao dispositivo.
- Verifique se foram aplicadas todas as actualizações e correcções de segurança das aplicações e do sistema operativo.
- Identificar estratégias de cópia de segurança e assegurar que as cópias de segurança estão protegidas contra corrupção/acções maliciosas. Implementar um air gap ou outro esforço estratégico para proteger as cópias de segurança.
- Testar as cópias de segurança dos dados para garantir à organização que as cópias de segurança podem ser utilizadas para reinstalar os dados e a arquitetura comprometidos do sistema, caso sejam visados.
- Junte-se ao Centro de Análise e Partilha de Informações (ISAC) do seu sector - existe um para a maioria das organizações: por exemplo, o FS-ISAC presta serviços aos sectores financeiro e dos seguros.
- Monitorizar as fontes de informação sobre ameaças e garantir que quaisquer indicadores de comprometimento (IOCs) são bloqueados de forma proactiva.
Com ameaças em evolução, um mercado em rápida mudança e uma base de conhecimentos em constante crescimento, é garantido que o ciberespaço continuará a ser um tema quente. Para além dos riscos emergentes, continuamos a ouvir preocupações sobre a cobertura e capacidade no espaço cibernético. Os especialistas da Sedgwick mantêm-se ligados e prontos a aconselhar os seus clientes na procura de estratégias de prevenção, na exploração da linguagem e limites das apólices e na preparação para riscos conhecidos e desconhecidos.