Divulgado o registro de conversas em que a agência de viagens americana CWT, após ser atingida por ransomware, pagou cerca de R$ 5,3 bilhões em won

xguru · 2020-08-04T11:33:36+09:00

Foi atingida pelo ransomware Ragnar Locker e resolveu o caso pagando $4.5M em Bitcoin Chama a atenção como a negociação avançou quase como uma conversa entre parceiros de negócios Como 30 mil dispositivos foram infectados, exigiram $10M em troca da descriptografia e da exclusão, de seus próprios servidores, de todos os dados que haviam baixado $10M é barato se comparar com os processos legais e a perda de reputação que vocês sofreriam se divulgássemos esse material~ Desbloquearam alguns arquivos aleatórios “de graça” para provar que realmente podiam descriptografar Disseram que, se houvesse contato em até 2 dias, dariam um desconto especial, e perguntaram: $10M não está caro? (Não aparece na tela, mas provavelmente ofereceram $8M com desconto de 20%) $8M é difícil, a menos que dobremos nossa receita. O caixa que conseguimos levantar hoje é de apenas $3.7M Já demos um desconto grande de 20%, e talvez dê para acrescentar mais uns 5%, mas esse valor é difícil... Que tal cerca de $4M agora para receber primeiro o descriptografador, e o restante depois, enquanto apagamos os dados de vocês que temos? Depois do pagamento, ainda deram conselhos de segurança, dizendo: “para evitar que isso aconteça de novo, recomendamos fazer o seguinte” Desative senhas locais. Force o encerramento de sessões de administrador. Na política de grupo, defina o valor de WDigest como 0. Se UseLogonCredential for 0, ele não fica armazenado na memória Troque as senhas todo mês. Revise e reduza as permissões dadas aos usuários, e permita acesso apenas aos apps estritamente necessários Na maioria dos casos, o Applocker já consegue proteger tudo Autorize a execução apenas dos aplicativos realmente necessários Não confie só no antivírus. Pode ajudar contra infecções ou ataques de longo prazo, mas na maioria dos casos não ajuda muito Instale EDR (Endpoint Detection and Response Security) e faça os administradores de TI usarem isso Para empresas grandes, recomendam pelo menos 3 administradores de sistemas trabalhando 24 horas; 4 administradores em 3 turnos de 8 horas por dia já devem ser suficientes A CWT é uma empresa especializada em gestão de viagens corporativas para B2B, incluindo viagens de negócios/reuniões/incentivos/feiras e exposições. Foi fundada em 1994, cobre 145 países, tem 18 mil funcionários e receita anual em torno de 1,8 trilhão de won.

(threadreaderapp.com)

13 pontos por xguru 2020-08-04 | 6 comentários | Compartilhar no WhatsApp

Foi atingida pelo ransomware Ragnar Locker e resolveu o caso pagando $4.5M em Bitcoin
Chama a atenção como a negociação avançou quase como uma conversa entre parceiros de negócios

Como 30 mil dispositivos foram infectados, exigiram $10M em troca da descriptografia e da exclusão, de seus próprios servidores, de todos os dados que haviam baixado
$10M é barato se comparar com os processos legais e a perda de reputação que vocês sofreriam se divulgássemos esse material~
Desbloquearam alguns arquivos aleatórios “de graça” para provar que realmente podiam descriptografar
Disseram que, se houvesse contato em até 2 dias, dariam um desconto especial, e perguntaram: $10M não está caro?
(Não aparece na tela, mas provavelmente ofereceram $8M com desconto de 20%)
$8M é difícil, a menos que dobremos nossa receita. O caixa que conseguimos levantar hoje é de apenas $3.7M
Já demos um desconto grande de 20%, e talvez dê para acrescentar mais uns 5%, mas esse valor é difícil... Que tal cerca de $4M agora para receber primeiro o descriptografador, e o restante depois, enquanto apagamos os dados de vocês que temos?
Depois do pagamento, ainda deram conselhos de segurança, dizendo: “para evitar que isso aconteça de novo, recomendamos fazer o seguinte”

Desative senhas locais.
Force o encerramento de sessões de administrador.
Na política de grupo, defina o valor de WDigest como 0. Se UseLogonCredential for 0, ele não fica armazenado na memória
Troque as senhas todo mês.
Revise e reduza as permissões dadas aos usuários, e permita acesso apenas aos apps estritamente necessários
Na maioria dos casos, o Applocker já consegue proteger tudo
Autorize a execução apenas dos aplicativos realmente necessários
Não confie só no antivírus. Pode ajudar contra infecções ou ataques de longo prazo, mas na maioria dos casos não ajuda muito
Instale EDR (Endpoint Detection and Response Security) e faça os administradores de TI usarem isso
Para empresas grandes, recomendam pelo menos 3 administradores de sistemas trabalhando 24 horas; 4 administradores em 3 turnos de 8 horas por dia já devem ser suficientes

A CWT é uma empresa especializada em gestão de viagens corporativas para B2B, incluindo viagens de negócios/reuniões/incentivos/feiras e exposições. Foi fundada em 1994, cobre 145 países, tem 18 mil funcionários e receita anual em torno de 1,8 trilhão de won.

6 comentários

red123 2020-08-06

Uns trabalham duro feito trouxas pra ganhar dinheiro

outros ganham dinheiro tomando dos outros kkk

red123 2020-08-06

Publicidadezinha de EDR, o que é isso kkkkk

sduck4 2020-08-04

Foi uma consultoria de segurança bem cara.

ohjongin 2020-08-04

Parece ser um conselho de segurança aplicável ao Windows...

xguru 2020-08-04

A maioria dos ransomwares mira o Windows mesmo, haha.

xguru 2020-08-04

Há pouco tempo, a Garmin também foi atingida por ransomware, seus sistemas ficaram fora do ar por vários dias e foi uma grande confusão, mas resolveram a situação pagando alguns milhões de dólares. Quanto maior a empresa, mais ela precisa dar atenção à segurança.

https://engadget.com/garmin-cyber-attack-ransomware-payment-180211805.…

Divulgado o registro de conversas em que a agência de viagens americana CWT, após ser atingida por ransomware, pagou cerca de R$ 5,3 bilhões em won

Leituras relacionadas

6 comentários