Com quase 400 mil habitantes, New Orleans já viveu diversos momentos de crise, como tornados e inundações. O mais destruidor deles foi registrado em 2015, quando a cidade norte-americana foi atingida pelo furacão Katrina. Em 2019, se viu mais uma vez diante de um problema, agora digital: o ransomware.

No palco do VeeamOn, que acontece nesta semana em Miami*, nos Estados Unidos, Kimberly Walker LaGrue, CIO de New Orleans, contou que o incidente começou na madrugada, foi identificado rapidamente pelo time de tecnologia e se espalhou, afetando 120 sites e cerca de 400 servidores. No entanto, o atacante não contava que a cidade seguia processos de disaster recovery (DR) e se negou a pagar o acordo exigido pelo atacante.

“No início da manhã, quando chegamos ao escritório, sabíamos que nossos usuários estavam recebendo ataques em seus computadores. Identificamos atividades suspeitas e percebemos muito rapidamente. Imaginamos um ataque de resgate quando vimos uma nota de resgate em uma de nossas máquinas”, lembra ela.

Kimberly conta que o plano de segurança da informação da cidade foi desenhado logo após o ataque de ransomware que atingiu o estado de Louisiana meses antes. Na ocasião, computadores do distrito foram desligados e um estado de emergência declarado. Foi um alerta vermelho, segundo ela.

“Entendemos que eles estavam chegando bem perto de casa. Então, começamos a ensaiar nossa estratégia de backup e recuperação e, realmente, o que faríamos em casos como esses. Percorremos exaustivamente esses procedimentos e sabíamos como lidaríamos com um ataque se ele acontecesse.”

Seguindo o protocolo

Kimberly releva que o time colocou o plano em ação e executou todas as partes do protocolo. “Notificamos o gabinete do Prefeito de Segurança Interna, o FBI e imediatamente desconectamos nosso ambiente da internet. Esse era o plano e seguimos”, resume ela.

Foi dessa forma, conta a executiva, que foi possível dominar o ataque. “Essa desconexão realmente nos salvou. Ganhamos horas desde o primeiro atendimento, até o ponto em que desligamos nossa rede e desconectamos todo o nosso acesso à internet”, completa.

Ela contou que a solução de backup anterior de New Orleans era bastante complexa, mas com a Veeam o cenário se tornou mais simples. “Sabíamos que o painel nos permitiria voltar a funcionar muito rapidamente. Queríamos acelerar esse processo da melhor maneira possível. Portanto, os backups imutáveis foram realmente o que me fizeram dormir à noite durante nosso processo de recuperação de 30 dias.”

Segundo ela, a automação da maneira como os backups foram tratados tornou tudo bastante simples e já era de conhecimento do time de tecnologia que seria preciso restaurar algo em um momento específico ou muito rapidamente. “18 meses depois pusemos a solução à prova e deu tudo certo, o que nos faz até entender melhor os desastres. O furacão Ivan chegou e houve um incêndio em nosso data center na cidade e passamos de uma solução que levava semanas para restaurar dados para alguns dias”, destaca ela.

Aprendizados do ransomware

Questionada se teria feito algo diferente pelo CEO da Veeam, Anand Eswaran, Kimberly revelou que pretende refinar o plano. Ela aproveitou, ainda, para recomendar que é preciso colocar as soluções de segurança à prova. “Coloque-os em jogo, entenda o que sua estratégia está ensaiando. Se as ameaças estiverem rondando você, entenda realmente qual deve ser sua solução”, afirma.

Ela também revelou que talvez pudesse ter esperado um pouco mais para fazer algumas das coisas que permitiriam que a equipe forense tivesse um pouco mais de informação, mas que a opção pelo desligamento imediato dos sistemas foi assertiva. “Essa foi a melhor decisão para nós na época. Uma dica de ouro, no entanto, é não negociar com o ciberatacante. Tivemos essa atitude. A melhor forma de fazer isso é saber qual será a sua estratégia. Tenha uma boa solução de backup e um plano”, finaliza ela.

*A jornalista viajou a convite da Veeam

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!