Somos compatíveis com navegadores, não com dinossauros. Atualize o navegador se quiser ver o conteúdo desta página web corretamente.

Não sabe qual é a solução de segurança ideal para a sua empresa?
Estudo de caso

Ataque de ransomware à cidade de Atlanta

Na cidade de Atlanta, na Geórgia, ocorreu um dos ataques de ransomware mais catastróficos dos EUA até o momento. Causando um grande transtorno em março de 2018, a violação atingiu a infraestrutura de TI desatualizada da cidade, afetando serviços públicos e causando várias interrupções em toda a cidade.
Este artigo analisa como o ataque de ransomware ocorreu, suas consequências e o que as empresas podem aprender com o incidente para melhorar sua cibersegurança.

Proteja sua empresa contra ransomware com o Avast Business Server Antivirus

Quando o ataque à cidade de Atlanta aconteceu?

Em 22 de março de 2018, a cidade de Atlanta identificou que seus sistemas operacionais e serviços de segurança haviam sido vítimas de um ataque de ransomware. Alguns registros do município também sumiram durante a violação de dados, e muitos funcionários do governo tiveram que criar cópias impressas dos documentos.

O que aconteceu?

Antes do ataque, descobriu-se que a cidade de Atlanta tinha uma infraestrutura de TI frágil, o que a tornava cada vez mais vulnerável a um possível ataque cibernético. Uma auditoria de janeiro de 2018 constatou que:

  • O sistema de gerenciamento de segurança da informação (ISMS) da cidade incorporou "políticas, procedimentos e documentos de orientação ausentes ou desatualizados"
  • Entre 1.500 a 2.000 vulnerabilidades graves ocorreram
  • Cerca de 100 servidores da administração pública operavam com softwares desatualizados
  • Havia uma "falta de processos formais para identificar, avaliar e mitigar riscos"

A falta de protocolos de segurança robustos, juntamente com a complacência dos funcionários em relação à segurança cibernética, criou o ambiente perfeito para um ataque cibernético. Em 22 de março, o departamento de Gerenciamento de Informações de Atlanta foi notificado sobre falhas em vários aplicativos internos e de clientes, “incluindo alguns aplicativos que os clientes usam para pagar contas ou acessar informações relacionadas a tribunais”.

Infectando sistemas de Wi-Fi públicos, incluindo redes de aeroportos, bem como os sistemas e redes municipais da cidade, o ataque de ransomware afetou a capacidade dos cidadãos de acessar dados confidenciais ou sensíveis, utilizar aplicativos voltados para o cliente, concluir transações financeiras e pagar contas online. Até um terço dos aplicativos locais também foi criptografado, tornando sistemas, arquivos e documentos inacessíveis. Para acompanhar o ritmo dessa súbita interrupção, as empresas tiveram que voltar a escrever notas e registros à mão.

Identificado como um ataque de ransomware, em particular o ransomware SamSam, os funcionários do governo que tentavam acessar os sistemas e redes afetados eram solicitados a pagar até US$ 50.000 em bitcoins para obter a chave privada que removeria o vírus e concederia acesso aos seus aplicativos.

O que é SamSam?

O ransomware SamSam é um tipo de malware que monitora as atividades da rede para obter mais informações sobre as operações em andamento e avaliar possíveis vulnerabilidades. Ele é diferente de outros ransomwares famosos, como o WannaCry e o Petya, que atacam imediatamente após a violação das redes visadas. O SamSam permite que o criminoso se aprofunde na rede para gerar o máximo de danos e grandes pagamentos de resgate. Ele também remove todos os backups existentes que poderiam ser usados para neutralizar o ataque.

Os cibercriminosos podem obter acesso manual a servidores de rede desatualizados e a dados do sistema das seguintes formas:

Depois de entrar na rede, o cibercriminoso pode obter autorização e privilégios administrativos, o que lhe permite implementar malware adicional sem ser detectado e desativar ferramentas de segurança, como a autenticação de dois fatores, para evitar a detecção.

O ransomware SamSam é único, pois criptografa dados, arquivos e servidores, mas também todos os elementos e aplicativos fundamentais que podem ajudar a reinicializar qualquer hardware. Isso torna a recuperação de dados um processo arduamente lento. Criar arquivos e criptografá-los com chaves AES (Advanced Encryption Standard) e chaves públicas RSA exclusivas impossibilitará o acesso aos arquivos e garantirá que o pagamento de um resgate deverá ser feito para que os arquivos sejam descriptografados com êxito.

Quando o criminoso cibernético conclui sua operação, é feito um pedido de resgate, solicitando o pagamento por meio de um site Tor de código aberto. Após o pagamento, é fornecida uma chave criptográfica, permitindo que a rede seja descriptografada.

Como a cidade reagiu?

Não está claro se a administração de Atlanta pagou o resgate, mas o impacto financeiro total do ataque de ransomware foi algo sem precedentes. Após a solicitação de um pagamento de US$ 50.000 em Bitcoin, os cibercriminosos removeram a página que permitia que o pagamento fosse feito, levando a cidade a implementar medidas de emergência para o gerenciamento do impacto.

Quais foram as consequências do ataque de ransomware à Atlanta?

O município gastou mais de US$ 2,6 milhões em contratos de emergência para neutralizar o efeito do ataque do ransomware SamSam e restaurar seus sistemas e serviços de computador. O ataque cibernético afetou cinco dos 13 departamentos do governo local da cidade por cinco dias. Esse projeto de lei consistia em serviços de incidentes e resposta da Edelman a um custo de US$ 50.000, custos de pessoal da Atlanta Information Management (AIM), conhecimento especializado da empresa privada Secureworks e especialistas do setor público da Cisco e da Microsoft Cloud para colocar os sistemas novamente online.

Os sistemas que foram afetados pelo ataque de ransomware da cidade de Atlanta entre 22 de março e 2 de abril incluíram o Tribunal Municipal de Atlanta, serviços de pagamento de serviços públicos e serviços de estacionamento. Todos eles tiveram que voltar para o processamento manual. Isso incluiu sistemas de pagamento online e presenciais para serviços básicos, como contas de água.

Entre as instalações de transporte importantes que não foram afetadas, está o Aeroporto Internacional Hartsfield-Jackson de Atlanta, que manteve sua rede Wi-Fi pública desativada por recomendação do FBI, do Serviço Secreto e do Departamento de Segurança Interna. Ao contrário do ataque de ransomware aos hospitais do Reino Unido, que afetou significativamente os serviços essenciais, como bombeiros, polícia e saúde, os serviços de saúde de Atlanta não foram diretamente afetados.

Cinco dias após o ataque, a cidade de Atlanta lançou um centro de informações para atualizações, informando funcionários e residentes que eles podiam ligar seus computadores novamente, mas que um grande número de serviços continuava indisponível. Alguns serviços foram reestabelecidos de forma imediata para os funcionários, como e‑mail, Oracle e Accela. Mesmo assim, outros ainda continuaram indisponíveis, como a rede Wi-Fi pública do aeroporto no ATL, o pagamento online de conta de água (não operacional até maio) e a opção de pagamento online do tribunal (não operacional até junho). No entanto, alguns serviços ou dados foram permanentemente apagados, incluindo vários documentos legais e arquivos de vídeo da polícia.

Após a violação, a prefeita da cidade de Atlanta, Keisha Lance Bottoms, e vários diretores declararam que nenhum dado de cidadãos foi comprometido e que a segurança cibernética permaneceria na vanguarda das políticas governamentais no futuro. A cidade nomeou seu novo diretor de informações, Gary Brantley, em setembro de 2018, juntamente com um novo diretor de operações e diretor de preparação para emergências em junho do ano seguinte.

Em dezembro de 2018, o Departamento de Justiça dos EUA anunciou que um grande júri federal em Atlanta acusou dois cidadãos iranianos pelo sofisticado ataque de ransomware que infectou aproximadamente 3.789 computadores pertencentes à cidade de Atlanta, incluindo servidores e estações de trabalho. O governo local reconheceu que o ataque "interrompeu significativamente as operações da cidade de Atlanta, prejudicou certas funções governamentais e fez com que ela incorresse em despesas substanciais nas semanas e meses seguintes. Até o momento, o ataque causou perdas de milhões de dólares."

Que lições podemos tirar dos ataques de ransomware a Atlanta?

O ataque de Atlanta não ocorreu isoladamente – os ransomwares continuam a evoluir e a crescer em tamanho e sofisticação, portanto, é vital que empresas públicas e privadas implementem processos robustos de segurança cibernética.

Como resultado de fragilidades ou desatualização em softwares de segurança e práticas de TI, cibercriminosos podem explorar possíveis vulnerabilidades nas redes de empresas e sequestrar dados e serviços até o pagamento de um resgate. Outro exemplo de ataque famoso é o incidente de ransomware em Baltimore, realizado em 2019. Nele, cibercriminosos infectaram sistemas e servidores da adiministração pública com ransomware devido a protocolos de cibersegurança inadequados e desatualizados.

Embora algumas empresas optem por pagar o resgate, não há garantia de que os cibercriminosos fornecerão as ferramentas de descriptografia do ransomware para restaurar os sistemas e serviços criptografados. Como ransomwares continuam sendo uma ameaça contínua às empresas, é fundamental prevenir e proteger sua rede com um plano de recuperação de desastres eficaz e investimento em ferramentas de segurança robustas.

Deixe que a Avast proteja a sua empresa contra ataques de ransomware

À medida que sua empresa cresce, o número de dispositivos conectados à sua rede também aumenta. Isso amplia os riscos e as vulnerabilidades da organização. A implementação de ferramentas de proteção contra ransomwares, como o antivírus de servidor, oferece uma camada extra de proteção, prevenindo, detectando e removendo ameaças.

Fechar

Falta pouco!

Conclua a instalação clicando no arquivo baixado e seguindo as instruções na tela.

Inicializando download...
Atenção: se o download não se iniciar automaticamente, clique aqui.
Clique neste arquivo para começar a instalação do Avast.