A abordagem em três frentes da Jera-IT para resposta a incidentes e recuperação de desastres

O ataque do ransomware Akira

Certa manhã, o suporte técnico da Jera-IT começou a receber muitos tickets de um cliente, pois vários de seus servidores haviam ficado fora do ar. Ao investigar o problema, a equipe da Jera-IT descobriu que o cliente ainda tinha muitos servidores em funcionamento. Como a equipe já estava discutindo mudanças e atualizações de servidores com esse cliente, a avaliação inicial apontou para uma falha no host físico.

No entanto, ao investigar a fundo o problema para colocar todos os servidores novamente em funcionamento, a equipe da Jera-IT rapidamente descobriu danos causados pela criptografia de dados e um arquivo de texto intitulado “Akira”, o que indicava que se tratava de um incidente cibernético. “Foi nesse momento que fui chamado para uma reunião com meus engenheiros a fim de dar-lhes apoio. Estou neste ramo há tempo suficiente para saber o que estávamos enfrentando e o que precisávamos fazer”, relembra Clark.

Após uma investigação mais aprofundada, a equipe da Jera-IT descobriu que quase 90% dos serviços do cliente estavam criptografados até o nível do sistema operacional e das máquinas virtuais (VM). No entanto, os hackers não conseguiram comprometer toda a rede, pois a Jera-IT havia instalado alguns dos servidores e controladores de domínio do cliente em outros locais.

“Partimos do princípio de que tudo na rede estava comprometido e acionamos um plano completo de recuperação de desastres (DR). Desconectamos tudo da internet e tivemos que encontrar outras formas até mesmo de nos comunicarmos uns com os outros”, diz Clark.

A abordagem em três frentes

“Ao lidar com essa situação, tínhamos três vertentes, cada uma abordando o problema sob seu próprio ângulo”, comenta Clark. “Em primeiro lugar, nosso cliente precisava manter suas operações comerciais a todo custo. Em segundo lugar, uma empresa de resposta a incidentes (IR) estava tentando isolar tudo com uma grande fita adesiva dizendo: ‘Não toque’. Depois, estávamos nós — e provavelmente o desafio mais difícil de todos — tentando ajudar o cliente a se recuperar e voltar a operar, tudo isso enquanto equilibrávamos essas três abordagens e tentávamos encontrar uma solução que agradasse a todos”, acrescenta ele.

A primeira medida que a Jera-IT tomou ao lidar com essa situação foi recorrer à Datto. “Trabalhamos há anos com esse cliente, utilizando os backups da Datto, e tínhamos certeza de que eles estavam em perfeitas condições. Isso foi, de fato, o que nos salvou”, afirma Clark.

Resultado: Tudo voltou a funcionar

Graças à robusta solução de recuperação de desastres da Datto, a Jera-IT conseguiu recuperar algumas das aplicações críticas para os negócios do cliente, hospedadas na nuvem, permitindo que o cliente continuasse suas operações comerciais em meio ao caos. Posteriormente, a equipe da Jera-IT conseguiu conter o problema e começou a colocar os servidores novamente em funcionamento de maneira controlada. Eles utilizaram ferramentas sofisticadas para entender como o agente malicioso se infiltrou na rede e quais foram os danos causados.

Todos os servidores foram limpos e protegidos com senhas, firewalls e outros serviços essenciais antes de serem colocados novamente em operação. Foi instalado nos servidores um serviço de detecção e resposta em terminais (EDR) que não havia sido implantado anteriormente. Em um mês, todos os serviços do cliente estavam novamente em operação.

“Para ser justo, o cliente não perdeu um único dia de produção, e uma das principais razões para isso são os backups da Datto. Se não fosse por isso, nunca teríamos conseguido recuperar os servidores na nuvem e nunca teríamos conseguido restaurar os serviços do cliente da maneira como fizemos”, afirma Clark.

Os principais pontos a serem destacados para MSPs e empresas

Segundo Clark, essa história dá o que pensar tanto para o MSP quanto para a comunidade empresarial.

“Sempre que interajo com tomadores de decisão do mundo das pequenas e médias empresas, eles costumam dizer que não têm orçamento suficiente para reforçar sua segurança cibernética — mas é incrível como esse orçamento aparece para resolver um incidente cibernético quando ele os atinge”, comenta Clark. “No início desse incidente, o cliente não tinha uma solução de EDR implementada e, se eu fosse falar com eles sobre uma solução de EDR, garanto que não teria obtido a resposta que esperava. No entanto, hoje, eles têm um serviço completo de EDR implementado. Portanto, é interessante observar por que as pessoas esperam por tais incidentes para reforçar sua segurança cibernética.”

Clark observa ainda que esses incidentes de segurança cibernética também são uma grande preocupação para os MSPs. Ele acrescenta: “Embora os MSPs acreditem que um plano de continuidade de negócios ou um plano de recuperação de desastres os salvaria de tais incidentes, eles não estão preparados para o impacto que esses incidentes poderiam ter sobre seus negócios. A maioria dos MSPs opera a 90% da capacidade máxima, e um incidente cibernético desse tipo terá um impacto significativo sobre sua força de trabalho.”

Clark nos lembra que a segurança cibernética é uma jornada contínua, sem um ponto final. “Pode ser difícil para os empresários ouvirem isso, mas essa discussão sobre segurança cibernética vai evoluir constantemente ao longo do tempo”, conclui ele.