O desafio
De um dia para o outro, uma PME industrial viu a produção parar. Um ataque de ransomware cifrou servidores críticos, os sistemas de gestão ficaram inacessíveis e as linhas deixaram de trabalhar. Com cada hora de paragem a custar dinheiro e encomendas, a administração enfrentava a pergunta mais perigosa de todas: pagar o resgate e esperar que corresse bem.
Foi nesse momento que nos contactaram. O objetivo era duplo: repor a operação o mais depressa possível e, ao mesmo tempo, perceber o que aconteceu, para não voltar a acontecer.
- 1 0-4h
Contenção
- ▸ Isolamento dos sistemas afetados
- ▸ Preservação da evidência para a investigação
- 2 Fase 2
Investigação
- ▸ Análise forense do ataque
- ▸ Identificação do vetor de entrada
- 3 Fase 3
Erradicação
- ▸ Remoção do acesso e da persistência
- ▸ Reconstrução a partir de bases limpas
- 4 <72h
Recuperação
- ▸ Restauro de backups validados
- ▸ Reforço de controlos antes de religar
Resposta imediata
As primeiras horas de um incidente decidem o resto. Entrámos em modo de resposta e agimos por prioridades:
- Isolámos os sistemas afetados para travar a propagação, sem destruir a informação necessária à investigação
- Identificámos o que estava cifrado, o que estava intacto e onde estavam os backups
- Estabelecemos uma linha de comunicação clara com a administração, para decisões rápidas e informadas
Investigação
Em paralelo com a contenção, conduzimos a análise forense para reconstituir o ataque: como entraram, por onde se movimentaram e o que tocaram. O vetor de entrada foi identificado, um acesso de VPN sem autenticação multifator, que permitiu ao atacante entrar com credenciais comprometidas e escalar até aos servidores.
Perceber a extensão real do compromisso foi essencial para não recuperar por cima de um sistema ainda controlado pelo atacante, um erro comum que transforma um incidente em dois.
Erradicação e recuperação
Com o cenário mapeado, avançámos para a recuperação de forma controlada:
- Remoção do acesso do atacante e eliminação de mecanismos de persistência
- Reconstrução dos sistemas a partir de bases limpas
- Restauro dos dados a partir de backups validados
- Reforço imediato dos controlos críticos antes de voltar a ligar tudo à rede
Impacto
A empresa não só recuperou como saiu do incidente mais forte: melhores backups, MFA em todos os acessos, maior visibilidade sobre a sua rede e um plano escrito de resposta. O que começou como uma crise transformou-se num salto de maturidade em segurança, e num lembrete de que a diferença entre um susto e um desastre está, quase sempre, na preparação e na rapidez da resposta.
Serviços neste projeto:
Tem um desafio semelhante?
Entre em contacto e a nossa equipa responde em menos de 24 horas.