No ano em que o assunto RANSOMWARE parece ter se tornado pauta diária nos meios de comunicação, surge uma nova história, só que esta um tanto inusitada e que pode parecer uma produção de fanfic, ainda mais pela origem da publicação e pela ausência de detalhes como fontes ou indícios que pudessem realmente comprovar o ocorrido. Mesmo assim, o roteiro da história é plausível e cada vez mais próximo da realidade em muitas organizações, devido a hiperconexão apoiada com a Internet das Coisas.
Tudo começa com o surgimento de uma publicação no fórum Reddit, vinda de um suposto Engenheiro Químico de uma grande indústria petroquímica, com diversas plantas na Europa. Segundo o relato, cada planta possui uma sala de controle que monitora diversos sensores da fábrica e todas estas salas estão conectadas a outra central. Este engenheiro que administra o software dos CLPs (Controladores Lógicos Programáveis) recebeu a notificação de um funcionário desesperado que informava sobre uma paralisação geral nos computadores da empresa e ao avaliar o diagnóstico, constatou tratar-se de um ataque de ransomware. Os computadores que fazem parte deste sistema de controle da fábrica ainda rodam Windows XP, por uma característica burocrática do governo que obriga a realização de uma auditoria após a atualização dos sistemas, o que segundo o engenheiro, era inviável no momento.
Pois bem, resumindo a história, com a fábrica paralisada pelo ataque de ransomware, inicia-se o procedimento de recuperação do ambiente com a formatação dos computadores infectados e restauração dos dados. Mas logo que a comunicação da rede interna era restabelecida, os computadores voltavam a ser infectados pelo ransomware, mesmo sem conexão com a internet. Havia alguma fonte de contaminação não identificada fazendo com que todo o trabalho fosse perdido e consequentemente isso mantinha a fábrica paralisada.
O café e a amarga surpresa
Após horas de exaustivo trabalho, um funcionário que participava do processo de recuperação do ambiente foi buscar um café e para sua surpresa, a tela da máquina de café apresentava a mesma mensagem dos computadores infectados. Ao percorrer outros pontos, localizou outras máquinas com a mesma mensagem. Como estas máquinas de café possuem conexão com serviços na internet, alguém optou por colocá-las na mesma rede dos computadores da fábrica e quando iniciou-se a disseminação do ransomware pela rede, elas também foram atingidas, porém durante a recuperação, elas não estavam incluídas no processo de restauração.
O relato do suposto Engenheiro Químico aponta como fonte do ataque as máquinas de café, pois os computadores da fábrica que monitoram os sensores não possuem conexão com a internet. Mas a utilização de computadores com Windows XP e provavelmente sem patches de segurança aplicados, permitiu que o ransomware se espalhasse facilmente no ambiente.
A empresa terceirizada responsável pela manutenção das máquinas de café foi acionada para recuperar os sistemas e adicioná-las em uma rede segregada da rede da fábrica, como se imaginava. Mas o ponto que eu gostaria de destacar nessa fantástica história é a atuação das equipes de TI e de SI da petroquímica que se quer possuía um mapeamento dos ativos conectados em seu ambiente, ou seja, não havia se quer um controle de inventário que permitisse identificar dispositivos adicionais na rede. Como diz o próprio autor da história, o caso não ocorreu com uma empresa de fundo de quintal e sim com uma grande corporação da Europa, pertencente a um setor altamente estratégico e que é obrigada a adotar inúmeros protocolos de segurança.
Pesquisando mais sobre o caso, não localizei referências seguras sobre a ocorrência. Não podemos garantir a veracidade da história, mas que em breve teremos casos reais e similares a este, isso teremos.
Fontes consultadas: Hackeread / Reddit
Imagens: Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec