CyberS3c, Cybersecurity Artisans
Indústria

Resposta a incidente de ransomware

PME do setor industrial

Contenção, erradicação e recuperação de um ataque de ransomware em menos de 72 horas, sem pagamento de resgate.

O desafio

De um dia para o outro, uma PME industrial viu a produção parar. Um ataque de ransomware cifrou servidores críticos, os sistemas de gestão ficaram inacessíveis e as linhas deixaram de trabalhar. Com cada hora de paragem a custar dinheiro e encomendas, a administração enfrentava a pergunta mais perigosa de todas: pagar o resgate e esperar que corresse bem.

Foi nesse momento que nos contactaram. O objetivo era duplo: repor a operação o mais depressa possível e, ao mesmo tempo, perceber o que aconteceu, para não voltar a acontecer.

72
horas para restaurar a operação
0
euros de resgate pago
MFA
imposto em todos os acessos remotos
  1. 1 0-4h

    Contenção

    • Isolamento dos sistemas afetados
    • Preservação da evidência para a investigação
  2. 2 Fase 2

    Investigação

    • Análise forense do ataque
    • Identificação do vetor de entrada
  3. 3 Fase 3

    Erradicação

    • Remoção do acesso e da persistência
    • Reconstrução a partir de bases limpas
  4. 4 <72h

    Recuperação

    • Restauro de backups validados
    • Reforço de controlos antes de religar

Resposta imediata

As primeiras horas de um incidente decidem o resto. Entrámos em modo de resposta e agimos por prioridades:

  • Isolámos os sistemas afetados para travar a propagação, sem destruir a informação necessária à investigação
  • Identificámos o que estava cifrado, o que estava intacto e onde estavam os backups
  • Estabelecemos uma linha de comunicação clara com a administração, para decisões rápidas e informadas

Investigação

Em paralelo com a contenção, conduzimos a análise forense para reconstituir o ataque: como entraram, por onde se movimentaram e o que tocaram. O vetor de entrada foi identificado, um acesso de VPN sem autenticação multifator, que permitiu ao atacante entrar com credenciais comprometidas e escalar até aos servidores.

Perceber a extensão real do compromisso foi essencial para não recuperar por cima de um sistema ainda controlado pelo atacante, um erro comum que transforma um incidente em dois.

Erradicação e recuperação

Com o cenário mapeado, avançámos para a recuperação de forma controlada:

  • Remoção do acesso do atacante e eliminação de mecanismos de persistência
  • Reconstrução dos sistemas a partir de bases limpas
  • Restauro dos dados a partir de backups validados
  • Reforço imediato dos controlos críticos antes de voltar a ligar tudo à rede

Impacto

A empresa não só recuperou como saiu do incidente mais forte: melhores backups, MFA em todos os acessos, maior visibilidade sobre a sua rede e um plano escrito de resposta. O que começou como uma crise transformou-se num salto de maturidade em segurança, e num lembrete de que a diferença entre um susto e um desastre está, quase sempre, na preparação e na rapidez da resposta.

Serviços neste projeto:

Tem um desafio semelhante?

Entre em contacto e a nossa equipa responde em menos de 24 horas.