Os ataques de ransomware representam sérios riscos de segurança cibernética para os varejistas. Se um ataque conseguir interromper as operações voltadas para o cliente durante períodos de pico de negócios, poderá ter um efeito desastroso no resultado final de um varejista. Este artigo analisa o estado do ransomware na indústria de varejo, focando em ataques recentes e nas lições que os varejistas podem aprender com eles.
Ataques de Ransomware Notáveis que Afetaram os Varejistas
Aqui está um resumo de cinco notáveis ataques de ransomware a varejistas nos últimos anos.
The Works: Abril de 2022
A retalhista britânica The Works foi vítima de um bem-sucedido ataque de ransomware. Relatórios indicam que a empresa teve que fechar todas as suas 526 lojas inicialmente enquanto sua equipe de TI investigava o impacto do ataque, mas felizmente conseguiu reabrir todas, exceto cinco lojas, dentro de alguns dias após o ataque. Pelo que se soube, não foi exigido nenhum resgate da empresa, mas o software usado no ataque é conhecido por ser uma arma de grupos de ransomware. A empresa relatou que nenhum dado de cartão de crédito foi roubado, pois esses pagamentos são processados por um fornecedor externo terceirizado.
Moncler: Janeiro de 2022
A marca italiana de moda de luxo Moncler relatou ter sido vítima de um ataque de ransomware bem-sucedido. Relatos após o ataque disseram que foi o grupo de ransomware Black Cat que atacou a empresa. Os atacantes exigiram o pagamento de $3 milhões e ameaçaram postar detalhes sensíveis da empresa na dark web se não fossem pagos. A Moncler recusou-se a pagar o resgate, então o Black Cat postou uma série de documentos relacionados às finanças e à base de clientes da empresa.
Coop Grocery Store: Junho de 2021
A Coop é uma cadeia sueca de supermercados que se tornou uma das empresas mais impactadas pelo ataque de ransomware Kaseya em julho de 2021. Afetando mais de 1.500 organizações em todo o mundo, o ataque do Kaseya explorou vulnerabilidades no Kaseya VSA, que é uma aplicação de gerenciamento de endpoints usada por provedores de serviços gerenciados.
O grupo de ransomware REvil, que afirma gerar uma receita anual de $100 milhões por meio de suas atividades cibernéticas maliciosas, esteve envolvido neste ataque. A Coop teve que fechar mais de 800 de suas lojas porque o ataque do Kaseya impactou diretamente seus registos de caixa. O ransomware se propagou para os sistemas de pagamento da Coop, da Visma, que é uma MSP sueca que gerencia sistemas de pagamento para a cadeia de supermercados.
Dairy Farm Group: Janeiro de 2021
Em janeiro de 2021, o ransomware atingiu um dos maiores varejistas da Ásia, o Dairy Farm Group. Mais uma vez, o REvil instigou o ataque e exigiu um enorme pagamento de resgate de $30 milhões. Parece que este foi um ataque de dupla extorsão no qual os atacantes exigiram um pagamento de resgate maior para que a vítima pudesse descriptografar os ativos de TI comprometidos e evitar que os dados exfiltrados fossem postados na dark web.
A gravidade deste incidente foi tal que os cyber criminosos conseguiram assumir o controle total do sistema de e-mail da empresa. Perder o acesso ao e-mail é um cenário de pesadelo porque é muito mais difícil comunicar-se com os funcionários sobre um incidente cibernético em andamento e instruí-los sobre quais ações tomar para lidar com o incidente.
Whirlpool: Dezembro de 2020
A Whirlpool é uma fornecedora multinacional de eletrodomésticos que se tornou vítima de um ataque de ransomware no primeiro final de semana de dezembro de 2020. A gangue de ransomware Nefilim geralmente foca seus ataques em grandes empresas usando métodos de dupla extorsão.
Uma nota de resgate deixada nos computadores da Whirlpool dizia: “nós criptografamos seus arquivos com algoritmos de qualidade militar. Se você não tiver backups extensivos, a única maneira de recuperar seus arquivos é com nosso software.” A Whirlpool conseguiu detectar e conter o incidente rapidamente, o que significou nenhum impacto operacional perceptível. O Nefilim publicou alguns dados na dark web obtidos da rede da Whirlpool, incluindo planilhas de inventário, gráficos de trabalho e detalhes de auditoria da planta.
E-Land: Novembro de 2020
Em novembro de 2020, o gigante varejista sul-coreano E-Land teve que fechar 23 de suas lojas de varejo em resposta a um incidente de ransomware. A gangue Clop realizou o ataque ao E-Land, cujo CEO afirmou na época que os dados sensíveis dos clientes estavam seguros. A rede foi interrompida, o que afetou a capacidade de realizar operações nas lojas em algumas lojas de varejo.
No entanto, uma entrevista com a mídia com a gangue Clop revelou que esse ataque de ransomware foi mais danoso do que inicialmente divulgado. De acordo com os operadores do Clop, eles haviam invadido a rede da E-Land bem mais de 12 meses antes. O resultado foi instalar malware de PDV e obter os detalhes do cartão de crédito de mais de 2 milhões de clientes. Após extrair esses dados potencialmente valiosos, a gangue então instalou ransomware que bloqueou arquivos e sistemas importantes.
Travelex: Dezembro de 2019
Em dezembro de 2019, a varejista de serviços de câmbio Travelex foi vítima de um sério ataque de ransomware que acabou levando à falência da empresa e à perda de 1.300 empregos. O ataque, instigado pelo REvil, forçou o fechamento do site da empresa e interrompeu as operações nas lojas físicas por mais de duas semanas.
O incidente ocorreu quando os cyber criminosos invadiram a rede explorando vulnerabilidades não corrigidas nos servidores VPN usados pela Travelex. Alguns clientes ficaram presos em locais estrangeiros sem moeda local como resultado das interrupções. No final, o nível de desespero para recuperar seus sistemas resultou na decisão de pagar um resgate de $2.3 milhões.
Lições Aprendidas para os Varejistas
Com base nos incidentes de ransomware acima, há várias lições a serem aprendidas pelos varejistas para entender os riscos que enfrentam e implementar defesas para mitigar esses riscos.
Riscos na Cadeia de Fornecimento de Software
O incidente da Kaseya destacou os riscos frequentemente subestimados que podem surgir da cadeia de suprimentos de software de um varejista. Os varejistas conduzem operações complexas, dependendo de muitos fornecedores de software diferentes para fornecer funcionalidades voltadas para o cliente e para os bastidores. É importante ter visibilidade em todos os aspectos da cadeia de suprimentos de software e reagir rapidamente após uma comprometimento.
Estratégias de Continuidade de Negócios
Embora o incidente da Whirlpool tenha resultado em roubo de dados, uma estratégia eficiente de resposta a incidentes (IR) significou que não houve interrupções operacionais. Os varejistas devem ter estratégias de continuidade de negócios em vigor, que incluem recuperação de desastres, a capacidade de restaurar e-mails e equipes eficazes de resposta a incidentes que podem conter um ataque antes que ele bloqueie toda a rede.
Segurança Avançada de Endpoints
O ataque à E-land mostrou que as soluções de segurança de endpoint baseadas em assinatura legadas não são suficientes para detectar ataques cibernéticos. A gangue Clop invadiu a rede da E-Land e a sondou sem ser detectada por até 12 meses. As soluções avançadas de segurança de endpoint usam recursos impulsionados por IA para detectar comportamentos suspeitos de endpoint que podem indicar um ataque.
Vulnerabilidades Não Corrigidas
O ataque à Travelex foi particularmente surpreendente devido às falhas básicas de segurança cibernética expostas. Um patch de segurança para a vulnerabilidade do VPN estava disponível meses antes do incidente ocorrer, mas a Travelex falhou em aplicar o patch a tempo. A gestão automatizada de patches é uma das vitórias mais rápidas para qualquer empresa – não apenas varejistas – para evitar violações de dados.
Conclusão
Os varejistas continuarão a ser alvos de ataques de ransomware nos próximos anos. Aprender lições úteis com outros incidentes é uma forma de se antecipar aos atacantes. Outra estratégia importante para combater o ransomware é se defender contra phishing. Muitos ataques de ransomware começam com um email convincente enviado aos funcionários, persuadindo-os a clicar em links maliciosos ou baixar arquivos.
Para saber mais sobre a premiada solução anti-phishing da IRONSCALES, inscreva-se para uma demonstração hoje mesmo. Entre em contato conosco através do seu Account Manager na Nova8 ou por meio dos nossos canais parceiros e marque seu 90 Days Scan Back.
Conteúdo originalmente publicado no blog da IRONSCALES