{"id":11603,"date":"2019-04-04T20:01:15","date_gmt":"2019-04-04T23:01:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11603"},"modified":"2019-11-22T07:07:25","modified_gmt":"2019-11-22T10:07:25","slug":"hydro-attacked-by-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hydro-attacked-by-ransomware\/11603\/","title":{"rendered":"Ransomware ataca a gigante do alum\u00ednio Hydro"},"content":{"rendered":"

Durante os \u00faltimos anos , discutimos diversos incidentes nos quais ransomware foram direcionados para organiza\u00e7\u00f5es como hospitais<\/a>, tr\u00e2nsito<\/a>, ou at\u00e9 computadores governamentais<\/a> de um Estado. Depois chegou ent\u00e3o a era dos wipers, com as epidemias do WannaCry<\/a>, ExPetr<\/a>, e Bad Rabbit<\/a> espalhando-se pelo mundo e arruinando opera\u00e7\u00f5es de diversos neg\u00f3cios.
\nFelizmente, n\u00e3o passamos por acontecimentos desse tamanho nos \u00faltimos 12 meses, n\u00e3o porque os criminosos desistiram. A gigante do alum\u00ednio Hydro anunciou ter sido atacada por ransomware<\/a>\u00a0que afetaram a empresa inteira.<\/p>\n

O ataque \u00e0 Hydro: o que aconteceu?<\/strong><\/h3>\n

O time de seguran\u00e7a da Hydro notou inicialmente atividade pouco usual nos servidores da empresa \u00e0s 0h. Testemunharam a infec\u00e7\u00e3o espalhando-se e tentaram cont\u00ea-la. Tiveram sucesso parcial; no momento que isolaram as plantas industriais, a rede global j\u00e1 estava infectada. A Hydro n\u00e3o informou o n\u00famero de computadores impactados, mas como a empresa possui aproximadamente 35 mil funcion\u00e1rios, esse n\u00famero \u00e9 provavelmente enorme.<\/p>\n

A equipe da Hydro est\u00e1 trabalhando constantemente para mitigar o incidente, e obtiveram pelo menos sucesso parcial. As usinas de energia n\u00e3o foram afetadas por terem sido isoladas da rede \u2013 pr\u00e1tica interessante no contexto de infraestrutura cr\u00edtica. Entretanto, as fundi\u00e7\u00f5es n\u00e3o foram isoladas; durante os \u00faltimo anos tornaram-se significativamente mais automatizadas. Algumas dessas plantas localizadas na Noruega foram atingidas, mas a equipe conseguiu deix\u00e1-las completamente operacionais, embora lentamente, de forma semimanual. Ainda assim, como afirma<\/a> a Hydro \u201ca impossibilidade de conectar-se aos sistemas de produ\u00e7\u00e3o causam desafios de produ\u00e7\u00e3o e parada tempor\u00e1ria em diversas instala\u00e7\u00f5es.\u201d<\/p>\n

Apesar da escala imensa, o ataque n\u00e3o destruiu as opera\u00e7\u00f5es da Hydro completamente. Embora, m\u00e1quinas Windows tenham sido criptografadas e inutilizadas, os celulares e tablets n\u00e3o baseados no Windows continuaram a funcionar, o que deu aos colaboradores a possibilidade de comunicar e responder \u00e0s necessidades do neg\u00f3cio. A infraestrutura cr\u00edtica de alto custo, como banhos de alum\u00ednio, custando 10 milh\u00f5es de euros cada, aparentemente, n\u00e3o foram afetadas. O incidente de seguran\u00e7a n\u00e3o causou outros problemas como pessoas feridas. A Hydro na verdade espera que tudo que tenha sido afetado possa ser restaurado a partir dos backups.<\/p>\n

An\u00e1lise: acertos e erros<\/strong><\/h3>\n

A Hydro provavelmente ainda tem um longo caminho pela frente antes de restaurar as opera\u00e7\u00f5es completamente, e mesmo investigar o incidente deve demandar tempo e esfor\u00e7o da Hydro e das autoridades norueguesas. E por agora, n\u00e3o h\u00e1 consenso quanto a qual ransomware foi usado para iniciar o ataque.<\/p>\n

As autoridades dizem que possuem m\u00faltiplas hip\u00f3teses. Uma delas \u00e9 que a Hydro foi atacada pelo ransomware LockerGoga, o qual foi descrito <\/a>pelo Bleeping Computer como \u201clento\u201d (nossos analistas concordam com essa descri\u00e7\u00e3o) e \u201cdesleixado\u201d, adicionando que \u201cn\u00e3o faz qualquer esfor\u00e7o para n\u00e3o ser detectado\u201d. O pedido de resgate n\u00e3o mencionou o montante demandado pelos criminosos para desbloquear os computadores, por\u00e9m continha um endere\u00e7o para que as v\u00edtimas entrassem em contato.<\/p>\n

Embora as an\u00e1lises do incidente n\u00e3o estejam completas, podemos analisar e discutir o que a Hydro fez certo e errado antes e durante o incidente.<\/p>\n

Acertos<\/strong><\/p>\n

    \n
  1. As usinas foram isoladas da rede principal, o que evitou que fossem afetadas.<\/li>\n
  2. O time de seguran\u00e7a conseguiu isolar as instala\u00e7\u00f5es de fundi\u00e7\u00e3o rapidamente, o que permitiu que a produ\u00e7\u00e3o continuasse (em maioria de forma semimanual).<\/li>\n
  3. Colaboradores continuaram a se comunicar normalmente mesmo depois do incidente, o que significa que os servidores de comunica\u00e7\u00e3o estavam protegidos o suficiente para n\u00e3o serem afetados pela infec\u00e7\u00e3o.<\/li>\n
  4. A Hydro tem backups que permitiram restaurar os dados codificados e continuar as opera\u00e7\u00f5es.<\/li>\n
  5. A Hydro tem um seguro em ciberseguran\u00e7a que deve cobrir alguns dos custos resultantes do incidente.<\/li>\n<\/ol>\n

    Erros<\/strong><\/p>\n

      \n
    1. A rede provavelmente n\u00e3o estava segmentada adequadamente, ou ent\u00e3o teria sido bem mais f\u00e1cil impedir o ransomware de se espalhar e conter o ataque.<\/li>\n
    2. A solu\u00e7\u00e3o de seguran\u00e7a empregada pela Hydro n\u00e3o foi robusta o suficiente para parar o ransomware (Apesar de relativamente novo, o LockerGaga \u00e9 conhecido pelo Kaspersky Security como Trojan-Ransom.Win32.Crypgen.afbf).<\/li>\n
    3. A solu\u00e7\u00e3o de seguran\u00e7a poderia ser otimizada com softwares antiransomware como nosso Kaspersky Anti-Ransomware Tool<\/a>, que al\u00e9m de ser gratuito, \u00e9 pass\u00edvel de instala\u00e7\u00e3o juntamente com outras solu\u00e7\u00f5es de seguran\u00e7a e \u00e9 capaz de proteger sistemas de todos os tipos de ransomware, miners, e outras amea\u00e7as.<\/li>\n<\/ol>\n\n","protected":false},"excerpt":{"rendered":"

      Empresa com mais de 35 mil funcion\u00e1rios teve atividades paralisadas por malware; veja erros e acertos do caso<\/p>\n","protected":false},"author":675,"featured_media":11604,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,14],"tags":[1651,1502,83],"class_list":{"0":"post-11603","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-news","11":"tag-cryptors","12":"tag-infraestrutura-critica","13":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hydro-attacked-by-ransomware\/11603\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hydro-attacked-by-ransomware\/15429\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/12994\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/17373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hydro-attacked-by-ransomware\/15522\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/14211\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hydro-attacked-by-ransomware\/18059\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hydro-attacked-by-ransomware\/17052\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hydro-attacked-by-ransomware\/22421\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hydro-attacked-by-ransomware\/5803\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/26028\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hydro-attacked-by-ransomware\/11536\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hydro-attacked-by-ransomware\/10489\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hydro-attacked-by-ransomware\/18804\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hydro-attacked-by-ransomware\/22817\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hydro-attacked-by-ransomware\/23880\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hydro-attacked-by-ransomware\/18119\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hydro-attacked-by-ransomware\/22304\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hydro-attacked-by-ransomware\/22236\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=11603"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11603\/revisions"}],"predecessor-version":[{"id":12748,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11603\/revisions\/12748"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11604"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=11603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=11603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=11603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}