Como um ataque hacker à Norsk Hydro mostra a importância do backup

Com qual periodicidade sua empresa realiza um backup dos dados? Na segunda quinzena de março, a companhia norueguesa de alumínio e energia renovável, Norsk Hydro, sofreu um ataque ransomware que afetou parte da produção, inclusive no Brasil – a Alunorte, pertencente à organização, chegou a operar manualmente.

Assim como no Brasil, o ataque afetou usinas da companhia em diversos países, como Qatar e Noruega. O prejuízo prévio de US$ 41 milhões (R$ 158 milhões), segundo a Norsk Hydro informou ao site Computer Weekly, só não foi maior porque a companhia recusou pagar o resgate e preferiu restaurar o sistema utilizando os arquivos de backup.

Yanis Cardoso Stoyannis, gerente de consultoria e inovação em cibersegurança da Embratel, avalia que o prejuízo não foi maior porque a Norsk tinha um plano de contingência que abrangia três fatores. “A empresa tinha os processos manuais para dar continuidade à produção — mesmo que operando com menor eficiência—; os backups para recuperar os arquivos e ainda havia um seguro contratado para cobrir possíveis ataques, que nem chegou a ser usado.”

Como aconteceu o ataque à Norsk Hydro?

Por volta da 0h de 18 de março, a Norsk Hydro percebeu irregularidades nos sistemas e, nas horas seguintes, a companhia afirmou que produções na Europa e nos Estados Unidos estavam sendo paralisadas devido a um ataque hacker. Isso forçou a empresa a mudar as operações para o modo manual enquanto tentava conter o problema.

A especulação é que o ransomware LockerGoga foi utilizado para atacar a Norsk Hydro — que até aqui diz ter sofrido um ataque cibernético, sem especificar. Esse tipo de programa é relativamente novo e difícil de detectar e, quando usado, os criminosos criptografam rapidamente os arquivos do computador e exigem o pagamento para desbloqueá-los.

Em entrevista ao site da revista Wired, o especialista em segurança cibernética Robert Pritchard contou que o LockerGoga não se autopropaga. Ou seja, o responsável pelo ataque comprometeu a segurança da rede da empresa fez o upload do malware e o implementou em todo o sistema da Norsk.

Para Yanis, o ataque não tem outro motivo que não a extorsão de dinheiro da Norsk. “Esse tipo de ataque exige uma equipe criminosa estruturada. Quem invadiu a empresa sabia como os sistemas funcionavam, tinha conhecimento das plantas de produção e de como pedir o resgate. Os criminosos usaram mecanismo da própria Norsk para propagar o LockerGoga de forma controlada, sem que a companhia identificasse de imediato”, explicou.

Por que sua empresa precisa olhar para o backup?

Para conter o ataque, a Norsk isolou o malware e todas as plantas de produção da rede global com o objetivo de restaurar os dados criptografados por meio de backups. A prioridade era garantir a segurança das operações e remover a infecção para retomar as operações e conseguir atender os pedidos imediatos.

O chefe de análise de segurança da empresa de segurança Vectra Chris Morales comentou que embora o malware tenha se espalhado rapidamente na rede, a resposta ao incidente foi rápido. “É uma sorte que a Norsk Hydro tenha backups de todos os seus dados para recuperar o estado original”, falou em entrevista ao site Computer Weekly.

O ataque à Norsk mostra como uma rotina de backups é essencial para a organização estar preparada para situações semelhantes e evitar interrupção total dos serviços ou até mesmo a falência. Na lista abaixo, o Mundo + Tech elenca alguns pontos de segurança para sua empresa considerar.

• Rotina
  Manter uma rotina de backup, assim como faz a Norsk, pode diminuir a dor de cabeça quando um malware invade e bloqueia todo o sistema. Em uma situação dessas, a equipe de TI da empresa tem em mãos uma cópia de segurança para recuperar os arquivos de antes da invasão e para formatar o equipamento.
• Continuidade
  Negócios parados causam prejuízos às empresas. Ao criar a rotina de backups, é possível manter, mesmo que parcialmente, o fluxo de atividades durante algum evento que gere a perda de informações. A cópia de segurança é essencial para resgatar esses dados.
• Dados sensíveis
  Toda empresa deve lidar com dados sensíveis e, para isso, a rotina de backup deve ser diferente. Isso exige uma periodicidade maior, como criar cópias de segurança duas, três ou mais vezes por dia, de acordo com as necessidades de cada setor da organização.
• Armazenamento dos backups
  Prevenir é melhor que remediar. Os dados da empresa podem se perder, ser corrompidos ou ser inviabilizados por qualquer razão. Além de mantê-los em um HD externo, é possível considerar também serviços de nuvem e um servidor local para ter cópias de segurança em cada local.
• Transferência de dados
  Quando armazenados, os dados podem ser transferidos para outro local. Se a sua empresa considera a nuvem, é preciso entender a capacidade do servidor em suportar a transferência, já que o backup pode ter um tamanho muito grande e dificultar esse processo.

Só o backup basta?

Embora o backup tenha sua importância, a empresa não deve abrir mão de outras camadas de segurança, como afirma Yanis. “O backup é uma solução para a empresa recuperar o sistema e restabelecer a produção, mas no caso da Norsk, uma semana depois do ataque ela ainda estava com quase 80% da produção funcionando normalmente”, destaca Yanis. No dia 1º de abril, ou seja, quase duas semanas após o ataque, nem todas as áreas de negócio haviam voltado ao normal.

Principais destaques:
– Norsk Hydro foi alvo de um ataque hacker na segunda quinzena de março;
– Ataque fez com que várias plantas de produção operassem de forma manual;
– Ransomware LockerGoga gerou um prejuízo de US$ 41 milhões para a companhia;
– Prejuízo não foi maior porque empresa mantinha um backup de todos os arquivos.

Leia também:

Novidades do Futurecom 2018

5 projetos de cidades inteligentes que obtiveram sucesso

A importância do DevSecOps para a construção do seu software

Episódio 18 – Conhecimento além das escolas