De 28 de abril a 7 de maio, quase 80 lojas da London Drugs em British Columbia, Alberta, Saskatchewan e Manitoba (no oeste do Canadá) tiveram que fechar devido a um ataque cibernético. Não está claro que tipo de dados foram comprometidos pelos hackers e que tipo de método eles usaram para invadir. No entanto, uma coisa é certa: mais proteção não é inútil, de acordo com Fabio Assolini, chefe da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

>>Leia mais sobre segurança cibernética clicando aqui

O especialista em segurança cibernética ressalta que algo significativo aconteceu, mas como a empresa divulgou poucos detalhes, é difícil dizer com precisão o que aconteceu.

“A interrupção pode ser causada por muitas coisas, como um ataque de ransomware, uma sabotagem interna ou uma interrupção de TI. Ou mesmo um ataque externo que comprometeu bancos de dados, como vimos no passado por grupos como o LapSUS, fazendo exfiltração e destruição de dados. A empresa não disse publicamente se o incidente resultou de um ataque de ransomware, onde se espera que os dados dos clientes tenham sido roubados, para forçar a empresa a pagar o resgate”, disse Assolini.

Não está claro que tipo de ataque foi implementado no caso London Drugs. Segundo Assolini, grupos de ransomware costumam divulgar os nomes de novas vítimas em seus blogs. “Não encontramos nenhuma menção recente ao London Drugs em nenhum blog, apesar de alguns novos grupos não publicarem mais os nomes das vítimas. As razões para não divulgar tudo publicamente são: 1) dar mais tempo às Agências de Aplicação da Lei para realizarem uma investigação sem interferência; 2) coletar internamente evidências suficientes para iniciar uma investigação; 3) encontrar uma forma melhor e mais rápida de recuperação; 4) evitar taxas e penalidades de agências governamentais de proteção de dados”, disse o responsável da equipe global de pesquisa e análise da Kaspersky para a América Latina.

Notícias sobre o ataque cibernético: dados de funcionários podem ser comprometidos

Até agora, não está claro que tipo de ataque cibernético aconteceu na London Drugs durante uma semana a partir de 28 de abril. Durante o ataque cibernético, quase 80 lojas na Colúmbia Britânica, Alberta, Saskatchewan e Manitoba, no Canadá, tiveram que fechar. A varejista informou ontem que alguns dados pessoais de funcionários foram comprometidos durante o ataque cibernético.

A informação foi obtida pela Global News. De acordo com este memorando, a London Drugs fornecerá 24 meses de monitoramento de crédito gratuito e serviços de proteção contra roubo de identidade para os funcionários da London Drugs.

Abaixo, você pode ler partes deste memorando:

“Ainda não podemos fornecer quaisquer detalhes sobre a natureza das informações pessoais dos funcionários potencialmente impactadas. Isso ocorre porque há um grande número de arquivos corporativos não estruturados que não estão em formato consistente e cada um deve ser revisado individualmente. Com muita cautela, notificamos proativamente todos os funcionários atuais e fornecemos 24 meses de monitoramento de crédito gratuito e serviços de proteção contra roubo de identidade, independentemente de algum de seus dados estar comprometido ou não. Também estamos atualizando os comissários de privacidade relevantes sobre esses desenvolvimentos e continuamos a cooperar com suas investigações sobre este incidente”, disse o memorando.

Lições

De acordo com Assolini, um típico ataque cibernético moderno não é um incidente isolado no computador de um funcionário, mas uma operação complexa que afeta uma parte considerável da infraestrutura. Portanto, minimizar os danos de um ataque cibernético moderno requer bloquear o malware e compreender rapidamente o que aconteceu, como aconteceu e onde pode acontecer novamente. “Ter um plano de backup e adotar políticas de contingência e continuidade de negócios também é essencial”, afirmou o especialista.

Quando perguntei se alguns funcionários perderam as suas credenciais em ataques de phishing como uma possível causa dos ataques cibernéticos, Assolini disse que poderia ser uma causa. “Os corretores de acesso inicial geralmente capturam senhas e outros dados críticos, infectando os computadores dos funcionários com malware ladrão de dados. Depois de capturada, a credencial será vendida em fóruns clandestinos e comprada por grupos de ransomware, utilizando-a para invadir redes corporativas”, afirmou.

Outras possibilidades

Assolini disse que as senhas dos funcionários vazam em incidentes de exfiltração de dados de terceiros, o que também pode levar a um comprometimento.

Maneiras de evitá-lo

Por fim, Assolini aponta caminhos para evitar um novo ataque cibernético:

1) treinamento interno para ajudá-los a identificar ataques de phishing;
2) adicionar autenticação de dois fatores para caixas de correio corporativas;
3) usar proteção completa de endpoint com tecnologias de detecção modernas como EDR e XDR.

Imagem de mohamed Hassan por Pixabay