Em atuação desde 2013, o grupo FIN10 tem como principal objetivo extorquir financeiramente cassinos e organizações de mineração na América do Norte, sendo o Canadá o principal foco. De acordo com os pesquisadores da empresa de segurança FireEye, operações de intrusão visam o roubo de dados corporativos, arquivos, registros, correspondência e chaves de segurança. Em alguns casos, há o pedido de resgate em Bitcoins, equivalente a cerca de US$ 125 mil chegando até US$ 600 mil.
Responder a incidentes como os observados no FIN10 é um desafio para companhias de todo o mundo, uma vez que não se consegue prever qual será o plano de contenção para deter este atacante, por que não se sabe qual é a motivação e o dano já causado por ele. Para auxiliar as organizações com estes incidentes, a FireEye listou dez lições aprendidas a partir da observação do FIN10. São elas:
1. Verifique se, de fato, há uma brecha: certifique-se de que o sistema foi realmente hackeado. Tentativas de extorsão não são incomuns. Por isso, examine o ambiente antes de considerar o pagamento do resgaste. O FIN10, por exemplo, costuma fornecer dados como prova de que houve a invasão, o que auxilia a determinar se são seus.
2. Seu adversário é um humano: lembre-se de que seres humanos são imprevisíveis e podem agir com emoção. Considere, com cuidado, como um atacante poderá reagir sobre a sua ação ou inação – ele pode ser mais agressivo caso sinta-se ofendido. Ou pode conceder mais tempo se acreditar em você.
3. O tempo é crítico: é preciso validar a violação rapidamente, o que exigirá esforço de toda a equipe, incluindo períodos fora expediente, como noites e fins de semana, os quais podem gerar fadiga e burnout. Além de aprovação de mudanças emergenciais em curtos períodos de tempo.
4. Permaneça focado: a distração é latente e você corre contra o relógio. Por isso, avalie as tarefas que ajudam a mitigar, detectar e responder para conter o ataque. Concentre-se no que deve ter (os chamados, must-have) em vez do que seria bom ter (os nice-to-have), e considere a implementação de soluções temporárias para deter esta invasão.
5. Avalie os atacantes cuidadosamente: o ciberatacante não espera respostas. Então, se considerar responde-lo, limite as interações e seja cauteloso em suas palavras. Garanta o apoio do jurídico em todas as comunicações.
6. Envolva os especialistas antes da violação: serão necessários especialistas de três áreas a priori: forense, jurídico e relações públicas, ao obter a confirmação de uma violação disruptiva. Por isso, é importante já ter e mantê-los sob aviso.
7. Considere todas as opções quando o resgate é pedido: tenha a consciência de que o pagamento do resgate não excluirá a volta do atacante ou a devolução de todos os dados furtados. Daí a importância de incluir especialistas para avaliação de cenários e tomada de decisão.
8. Assegure a segmentação e controle de seus backups: a maior parte das companhias não possui políticas cautelosas de backup, de modo a recuperá-los rapidamente caso haja uma falha no sistema. No entanto, é comum que o backup esteja no mesmo ambiente invadido e comprometido pelo atacante. Desta forma, assume-se o risco de destruição dos mesmos.
9. Após o incidente, foque em melhorias de segurança: seja qual for o resultado, deve-se garantir que os atacantes não voltem e danifiquem ainda mais seu ambiente. Você também não irá querer que um segundo invasor o vise porque esteve disposto a pagar o resgate. Garanta que entendeu como funciona a extensão das brechas de segurança e que irá implementar táticas e ações estratégicas para prevenir acessos de futuros atacantes.
10. Se você pensa que estão fora, eles podem voltar de uma forma diferente: não esqueça de operacionalizar e melhorar o tempo de implantação das soluções imediatamente após conter o ataque. Garanta testes de conduta e red team, com avaliações para validar os controles de segurança e identificação de vulnerabilidades, de forma a consertá-los prontamente.
