A TIVIT, multinacional brasileira e one stop shop de tecnologia, liderou a resposta a um grave incidente de segurança, do tipo ransomware, sofrido por uma grande empresa brasileira. O ataque resultou na criptografia de 420 servidores da organização, inviabilizando completamente a operação durante três dias, e provocando um prejuízo milionário. Os profissionais de Cloud, Tech e CyberSec da TIVIT entregaram 11 mil horas de serviços em duas semanas para fazer com que a empresa voltasse à normalidade. “Engajamos 128 pessoas da TIVIT no processo de recuperação, trabalhando em turnos cobrindo as 24 horas do dia por mais de uma semana, para recuperar o ambiente o mais rápido possível”, afirma Daniel Galante, COO e CPO da TIVIT.
Em um evento desse tipo, o objetivo é recuperar o ambiente o mais rápido possível. “No caso do ransomware, é preciso reinstalar todos os sistemas das máquinas com os backups disponíveis, o que exige processos muito bem definidos e muito bem coordenados. A TIVIT é uma das poucas empresas no mercado capaz de mobilizar times com essa capacidade em tão pouco tempo”, diz Galante. O primeiro passo foi montar um War Room, com a participação de diretores de ambas as empresas, para definição e execução de ações de emergência. A TIVIT disponibilizou equipes especialistas que atuaram na resolução do problema em menos de quatro horas após o acionamento do cliente.
De acordo com Galante, um investimento de cerca de R$ 1,5 milhão em prevenção de cibersegurança teria evitado a invasão sofrida pela empresa, que acabou amargando um prejuízo superior a R$ 100 milhões. “O Brasil está entre os países que mais sofrem ataques do tipo ransomware, e as grandes empresas são as principais vítimas, por isso, prevenção é a palavra de ordem.”
A indústria vítima do ransomware não contava, por exemplo, com uma solução de EDR (Endpoint Detection and Response ou, em português, Detecção e Resposta de Endpoint) – que protege o “endpoint”, ou seja, o dispositivo do usuário final para onde os dados são enviados. Essa última parada pode ser um tablet, um notebook ou servidor onde está armazenado o banco de dados de uma empresa. O endpoint ainda pode oferecer acesso à rede maior da qual faz parte, podendo se tornar a porta de entrada das ameaças cibernéticas, como o ransomware. Daí, a necessidade de todos os dispositivos estarem protegidos adequadamente.
A empresa contratada para fazer a perícia forense da indústria vítima constatou que os cibercriminosos aguardaram de seis meses a um ano até acessar os sistemas. Nesse período, eles costumam se dedicar a identificar vulnerabilidades que podem permitir a invasão efetiva dos sistemas. Só então, os cibercriminosos passam a explorar as brechas para entrar nos servidores. Ainda segundo Galante, o ransomware costuma deixar a possibilidade de retomar o ambiente no futuro, motivo pelo qual o monitoramento precisa ser constante – por meio de ferramentas e equipes especializadas.
