Notícias e Cases

Lojas Renner fica fora do ar devido a ataque de Ransomware

Lojas Renner fica fora do ar devido a ataque de Ransomware que supostamente impactou o ambiente online e lojas físicas devido ao ataque.

Segundo fontes de mercado a Camicado e da Ashua, que fazem parte do grupo, também estariam fora do ar.

Empresa supostamente teve seu sistema infectado por um ransomware na tarde desta quinta-feira (19). De acordo com imagens divulgadas em redes sociais, a empresa já estaria sendo extorquida pelo valor de US$ 1 bilhão para liberação dos arquivos.

A rede de lojas varejistas Renner, especializada em vestuário masculino e feminino, foi vítima de um ataque de ransomware. Uma captura de tela que tem circulado pela web exibe a suposta nota de resgate deixada pelos criminosos, que indica o site (dentro da rede Onion) que os diretores da cadeia de lojas precisa acessar para obter mais informações a respeito de como pagar pela chave de decifragem.

ransomware 19171311984351

Imagens compartilhadas ao TecMundo revelam que a mensagem do ransomware exige apenas o dinheiro, deixando claro que não há interesse no vazamento de dados possivelmente obtidos. As informações sobre o caso também estão desencontradas, com indicações que o ransomware em questão seria o Defray777 —  mesma família do RansomEXX —  e o valor de resgate giraria em torno de US$ 1 bilhão.

LojasRenner fora do arEm contato com o TecMundo, uma fonte ainda afirmou que as máquinas virtuais das bases de dados de Porto Alegre e da TIVIT em SP foram encriptadas. Além disso, mais de 1,3 mil servidores teriam sido criptografados.

O ransomware age como um sequestrador do mundo virtual. Ele criptografa os arquivos presentes em um sistema (sequestra) e exige um pagamento em criptomoedas para liberação. Neste ano, um dos casos mais emblemáticos envolve a Colonial Pipeline (oleoduto norte-americano) e a JBS, que desembolsaram valores milionários como pagamento aos cibercriminosos.

LojasRenner fora do ar1Outra captura de tela recebida pela The Hack aparentemente retrata uma conversa entre funcionários da companhia através de um grupo no WhatsApp. Por lá, alguém diz que é “vírus”, criptografou todo o data center” e que “tá tudo fora”, “todas as lojas”, “toda a infra (sic)”. A conversa indica ainda que até as lojas físicas estariam com as portas fechadas por incapacidade de operar seus sistemas. O The Hack tentou contato telefônico com filiais da rede Renner para confirmar essa informação, mas não obtivemos sucesso até o momento.

Se a conversa retratada na imagem acima for verdadeira, o ransomware teria criptografado toda a central de dados da cadeia de lojas, o que a impediria de atuar pela sua loja virtual e atrapalharia as vendas nas lojas físicas (que dependem de comunicação constante com o sistema central).

Atualização

Em comunicado emitido ao final do dia as Lojas Renner confirmou o ataque e diz que a maior parte das operações havia sido restabelecida e que as lojas físicas não haviam sido afetadas. 

Loja Renner comunicado

O que é um Ransomware?

Ransomware é um tipo de software malicioso que bloqueia o acesso a um sistema de computador ou dados, geralmente, criptografando-o, até que a vítima pague uma “taxa de resgate” para o atacante. Em muitos casos, o pedido de resgate vem com um prazo e se a vítima não paga a tempo, os dados são perdidos para sempre. Outros ataques instalam malwares no sistema do computador, onde deixa a máquina infectada mesmo após o resgate pago e os dados liberados.

Embora inicialmente focado em sua maioria em computadores pessoais, cifragem por ransomware tem usuários alvo cada vez mais nas operações de negócios, pois as empresas muitas vezes, pagam mais para desbloquear os sistemas críticos e retomar as operações diárias da empresa e de seus funcionários.

As infecções em empresas por ransomware geralmente começam com um e-mail malicioso. Um usuário desavisado abre um anexo ou clica em uma URL de um site que contém códigos maliciosos ou que foi comprometido.

 dd06d1 cef0cd30ddb847e38892cc82f4313b86mv2

Nesse ponto, um agente de ransomware é instalado e começa a criptografia de arquivos importantes no PC da vítima e quaisquer compartilhamentos de arquivos disponível. Depois de criptografar os dados, o ransomware exibe uma mensagem no dispositivo infectado. A mensagem explica o que ocorreu e como pagar os atacantes. Se as vítimas pagarem, a promessa de ransomware é que a vítima vai receber um código para desbloquear seus dados.

  Ransomware pode ser caro e disruptivo. Além do próprio resgate – que resgate pode variar de centenas a dezenas de milhares de dólares para um único sistema infectados – recuperar os dados perdidos e desinfetar o equipamento consome tempo e recursos.

Pagar ou não pagar?

Menos da metade dos alvos de ransomware que pagaram o resgate obtiveram seus arquivos de volta, por isto pagar uma demanda de resgate é uma ótima maneira de acabar perdendo seu dinheiro e seus arquivos.

De acordo com um estudo da empresa de segurança CyberEdge, a melhor aposta para recuperar-se de um ataque de ransomware provavelmente é apenas restaurar a partir de um backup. A pesquisa, baseada em uma consulta à profissionais de segurança da informação, descobriu que menos de metade daqueles que pagam uma demanda de resgate acabam recebendo seus dados de volta.

  • 77% das redes foram violadas no ano passado – o primeiro declínio em cinco anos!
  • 55% das organizações foram comprometidas por ransomware no ano passado
  • 79% dos orçamentos de segurança de TI estão aumentando
  • 12% de um orçamento típico de TI da empresa é gasto em segurança
  • Malware, ransomware e spear-phishing causam mais dores de cabeça
  • “Aplication Containers” são os alvos mais fraco deste ano
  • A “falta de pessoal qualificado” é o maior inibidor do sucesso da segurança de TI

O relatório diz que 55% das pessoas pesquisadas relataram uma infecção por malware atingindo seus sistemas em 2017. A Espanha apresentou a maior taxa, com 80% dos respondentes informando malware, seguido de empresas na China (74%) e no México ( 71,9%) Nos EUA, 53,8% dos entrevistados foram atingidos por ransomware, enquanto pouco abaixo da metade do Reino Unido, 49,5%, foram atingidos.

“No Brasil 76,5% dos pesquisados foram atacados ao menos uma”

No geral, 72,4% daqueles que foram infectados com ransomware foram capazes de recuperar seus dados. A maioria destes, no entanto, eram empresas que simplesmente ignoravam as demandas de resgate, depois restauraram seus sistemas com cópias de backup não infectadas. O estudo descobriu que 86,9% dos que se recusaram a pagar a demanda acabaram recuperando seus dados.

Cerca de quatro das cinco vítimas de ransomware que pagaram uma demanda de resgate para recuperar seus arquivos disseram que pagariam o resgate novamente para recuperar dados se não houver arquivos de backup disponíveis.

Esta é uma das muitas conclusões de uma pesquisa com 1.252 usuários de 13 países da Ásia, Austrália e Europa, incluída no Relatório de Segurança Telstra de 2018. A pesquisa analisou várias facetas do cenário de segurança cibernética, mas estamos indo apenas para se concentrar nos resultados relacionados ao ransomware.

A maioria das vítimas pagantes conseguiu recuperar seus arquivos

De acordo com os resultados da pesquisa, os entrevistados relataram um aumento nos ataques de ransomware em 2017, em comparação com pesquisas similares realizadas em anos anteriores. De todos os usuários infectados, 47% dos asiáticos e australianos e 41% dos europeus pagaram a demanda de resgate para recuperar o acesso aos seus arquivos criptografados.

Telstra diz que 87% dos asiáticos, 86% dos australianos e 82% dos europeus conseguiram recuperar seus arquivos depois de pagar o resgate.

A maioria das vítimas pagaria o resgate novamente

Daqueles que pagaram o resgate – 76% dos asiáticos, 83% dos australins e 80% dos europeus – disseram que pagariam o resgate novamente se não tivessem arquivos de backup disponíveis.

Isso é contrário ao conselho popular da lei, que recomenda não pagar o resgate. Não obstante, tal conselho idealista é, às vezes, impossível de ser aplicado nas realidades do mundo real, onde as empresas podem perder o acesso à propriedade intelectual muito mais cara à sua atividade diária do que um escasso pedido de resgate de US $ 1.000 a US $ 5.000.

Portanto, o alto número de vítimas que optam por pagar o resgate e geralmente preferem pagar o resgate, contanto que o custo total de lidar com uma infecção de ransomware continue menor do que investir em práticas de segurança adequadas.

Em meio a um ataque de Ransomware o que fazer?

A Fortinet, preparou um checklist para ajudar organizações a lidarem com um ataque de ransomware quando ele acontecer:

  • Execute o plano de RI: Se disponível, comece a executar seu plano de resposta a incidentes (RI) imediatamente. Se você não tiver um, as etapas abaixo podem ajudar. Em alternativa, contate o seu fornecedor de segurança para obter ajuda ou reporte o incidente à sua companhia de seguros; eles podem já ter uma lista de provedores de segurança especializados que podem ajudá-lo. Considere o potencial impacto que o incidente de segurança pode ter.
  • Isole seus sistemas e interrompa a propagação: Existem várias técnicas para isolar a ameaça e impedir que ela se espalhe. Primeiro, identifique o alcance do ataque. Se o incidente já for generalizado, implemente bloqueios no nível da rede, como isolar o tráfego no switch ou na borda do firewall, ou considere desligar temporariamente a conexão com a Internet. Se disponível, a tecnologia de detecção e resposta de endpoint (EDR) pode bloquear o ataque no nível do processo, o que seria a melhor opção imediata com o mínimo de interrupção dos negócios. A maioria dos invasores de ransomware encontra uma vulnerabilidade para entrar em sua organização, como RDP exposto e e-mails de phishing.
  • Identifique a variante do ransomware: Muitas das táticas, técnicas e procedimentos (TTPs) de cada variante de ransomware estão documentados publicamente. Determinar com qual cepa você está lidando pode dar pistas sobre a localização da ameaça e como ela está se espalhando. Dependendo da variante, algumas ferramentas de decriptografia podem já estar disponíveis para você quebrar a criptografia de seus arquivos.
  • Identifique o acesso inicial: Determinar o ponto de acesso inicial, ou o primeiro sistema comprometido, ajudará a identificar e fechar a brecha em sua segurança. Os vetores de acesso inicial comuns são phishing, exploits em seus serviços de borda (como serviços de Área de Trabalho Remota) e o uso não autorizado de credenciais. Determinar o ponto inicial de acesso às vezes é difícil e pode exigir a experiência de equipes forenses digitais e especialistas em RI.
  • Identifique todos os sistemas e contas infectados (escopo): Identifique qualquer malware ativo ou sobras persistentes em sistemas que ainda estão se comunicando com o servidor de comando e controle (C2). As técnicas de persistência comuns incluem a criação de novos processos que executam a carga maliciosa, o uso de chaves de registro de execução ou a criação de novas tarefas programadas.
  • Descubra se os dados foram exfiltrados: Muitas vezes, os ataques de ransomware não apenas criptografam seus arquivos, mas também exfiltram seus dados. Eles farão isso para aumentar as chances de pagamento de resgate, ameaçando postar dados proprietários ou embaraçosos online. Procure por sinais de exfiltração de dados, como grandes transferências de dados em seus dispositivos de borda de firewall. Procure comunicações estranhas de servidores que vão para aplicações de armazenamento em nuvem.
  • Localize seus backups e determine a integridade: Um ataque de ransomware tentará limpar seus backups online e cópias de sombra de volume para diminuir as chances de recuperação de dados. Por isso, certifique-se de que sua tecnologia de backup não foi afetada pelo incidente e ainda está operacional. Os invasores geralmente ficam em sua rede por dias, se não semanas, antes de decidirem criptografar seus arquivos. Isso significa que backups podem conter cargas maliciosas e que não podem ser restaurados para um sistema limpo. Analise seus backups para determinar sua integridade.
  • Limpe os sistemas ou crie novas arquiteturas: Se existe confiança na capacidade de identificar todos os malwares ativos e incidentes de persistência em seus sistemas, então talvez não seja necessário reconstruí-los. No entanto, pode ser mais fácil e seguro criar sistemas novos e limpos. Você pode até considerar a construção de um ambiente limpo e totalmente separado para o qual poderá então migrar. Isso não costuma demorar muito em um ambiente virtual. Ao reconstruir ou higienizar sua rede, certifique-se de que os controles de segurança apropriados estejam instalados e de que estejam seguindo as práticas recomendadas para garantir que os dispositivos não sejam infectados novamente.
  • Reporte o incidente: É importante relatar o incidente. É preciso também determinar se o relato às autoridades legais é necessário e obrigatório. Sua equipe jurídica pode ajudar a resolver quaisquer obrigações legais em torno de dados regulamentados. Se o ataque for grave e sua empresa abranger várias regiões geográficas, você pode precisar entrar em contato com os serviços de aplicação da lei nacionais e não locais.
  • Pagando o resgate?: As autoridades policiais desaconselham o pagamento do resgate, no entanto, se você estiver pensando em fazê-lo, deverá contratar uma empresa de segurança com habilidades especializadas para ajudá-lo. Além disso, pagar o resgate não corrigirá as vulnerabilidades exploradas pelos invasores, portanto, certifique-se de ter identificado o acesso inicial e fechado as brechas.
  • Conduza uma revisão pós-incidente: Analise sua resposta ao incidente para entender o que deu certo e para documentar oportunidades de melhoria. Isso garante a melhoria contínua de suas capacidades de resposta e recuperação para o futuro. Considere simular os detalhes técnicos e não técnicos do ataque para que você possa revisar suas opções.

Quando ocorre um ataque de ransomware, tomar as medidas corretas é essencial para minimizar o impacto sobre a equipe e a organização”, explica Alexandre Bonatti, diretor de Engenharia da Fortinet Brasil. “Depois que um ataque ocorre, o pânico pode se espalhar pela empresa e criar problemas maiores. Os CISOs sabem que sobreviver a um ataque de ransomware requer um plano de resposta a incidentes, mas o desafio está na hora de documentar um plano completo e ter os recursos certos para implementá-lo quando necessário.

Dicas para criar defesas e respostas a ataques de Ransomware.

Suponha que hackers retenham acesso remoto à rede até que se prove o contrário.

Os invasores que usam ransomware estão cada vez mais fazendo muito mais do que apenas sistemas de bloqueio de criptografia com malware e exigindo uma recompensa em troca da promessa de uma ferramenta de descriptografia, que nem sempre existe.

Com muita freqüência, dizem os especialistas em segurança, as organizações que descobrem um surto de ransomware o tratam como um evento isolado, vinculado a apenas alguns endpoints. Em vez disso, eles dizem que todas as organizações que descobrem o ransomware devem assumir que os invasores ainda estão dentro da rede até prova em contrário e executar um plano de resposta a incidentes preparado para mitigar danos adicionais.

Alguns ataques de ransomware envolvem uma abordagem de esmagar e agarrar, com repercussões limitadas. Porém, um número crescente de invasores que usam ransomware estão empregando táticas de “big game“, o que significa que eles obtêm acesso remoto a uma rede, demoram tempo para se mover lateralmente e escalar privilégios, tentam identificar e exfiltrar dados confidenciais além de apenas implantar o ransomware.

Confira em nosso artigo “8 dicas para criar defesas e respostas a ataques de Ransomware” mais sobres as dicas de especialistas para se defender de ransomwares. 

Aqui estão oito dicas para criar melhores defesas e respostas para ransomware.

No momento deste post o site da Renner se encontrava fora do ar. 

fonte: https://minutodaseguranca.blog.br/lojas-renner-fica-fora-do-ar-devido-a-ataque-de-ransomware/

 

Contato - Rio de Janeiro

Contato - São Paulo

Siga-nos