SWAT Team - A equipa de intervenção que aterroriza os hackers

Publicado a 3/29/2019 por Knowledge Inside em Opiniao
image

Quem nos segue, sabe que raramente escrevemos de nós, dos nossos projetos, dos nossos clientes e das nossas certificações. Não porque seja tabu, mas porque na realidade achamos que os nossos leitores não estão assim tão interessados naquilo que somos e que é sempre mais relevante para quem nos segue tocarmos em temas que resultam da nossa experiência, mas que sejam transversais e de interesse geral.

Contudo este mês é uma daquelas ocasiões em que temos mesmo de falar de nós. Mesmo que endereçando um tema quente e atual, deixo o aviso que este artigo é também e sobretudo, sobre a equipa da Knowledge Inside.

A história começa com um dos piores casos de ransomware que passou por um cliente nosso. Não foi o primeiro caso, nem será o último e até já escrevemos sobre o assunto, mas este foi diferente. Afetou um cliente com uma dimensão considerável e uma boa dispersão geográfica nacional e internacional. Afetou, mas em grande! Tipo jackpot para o hacker, comprometendo praticamente todos os servidores, incluindo a primeira linha de backups local. Todos os sistemas em baixo e grande parte deles encriptados ou parcialmente encriptados.

“Long story short”, um membro do departamento de TI com permissões de “domain admin”, de forma não maliciosa, mas leviana, utilizou a sua conta para fazer downloads da internet e desta forma foi comprometido com um Worm. Um Worm que tinha como função executar em todos os sistemas que conseguisse um ransomware clássico que silenciosamente encripta todos os ficheiros e pede um resgate. Um Worm que percorria toda a organização com credenciais de administração. É caso para dizer “Game over and pull the cord” e foi isso mesmo que o cliente fez, desligou todos os sistemas.

Para enquadrar, ao longo dos anos temos efetuado alguns projetos neste cliente na área da infraestrutura e virtualização e temos com este mesmo cliente um contrato de NIODO Remote Backup, assegurando não só o backup remoto mas também a monitorização dos backups da organização com a nossa equipa de ServiceDesk. Existe uma relação mútua de grande confiança desenvolvida ao longo dos anos. Enquadramento feito, vamos à nossa história.

Já a noite de quinta-feira ia longa quando recebemos um SMS a pedir ajuda. Seria grave, todos os sistemas estavam desligados e o cliente pedia a nossa ajuda para o que fazer a seguir. Montado gabinete de crise, delineada a estratégia possível e na primeira hora da manhã de sexta-feira tínhamos um membro da nossa equipa dentro do datacenter do cliente (que se encontra a cerca de 300km da KI) para avaliar de forma segura os estragos. Num ambiente caótico, com grande parte da equipa da KI remotamente centrada no problema e com um nosso especialista em campo, conseguimos avaliar os estragos e definir juntamente com o cliente uma estratégia de recuperação. A tarefa não era fácil e envolvia a reinstalação dos Hypervisors, criação de novo cluster e posterior análise servidor a servidor em ambiente isolado seguido de restauro de backup, se necessário. Uma tarefa magnânima. Sábado de manhã tínhamos mais um elemento da KI no datacenter do Cliente. Estava montada a Swat Team: Dois especialistas seniores no olho do furacão em missão contrarrelógio.

Sempre com o suporte contínuo da restante equipa em Lisboa, para o que fosse necessário, o trabalho desenvolve durante todo o fim de semana e na terça-feira (Carnaval) junta-se à equipa no local o nosso COO que leva em mão uma cópia do backup remoto extraído durante o fim de semana do nosso datacenter (NIODO). Infelizmente o disco em que colocámos o backup (com vários TB de dados) apresentou uma anomalia na velocidade de transferência, pelo que a equipa da KI em Lisboa exportou uma nova cópia e ainda na terça feira a mesma chegou fisicamente ao datacenter do cliente. São iniciados os trabalhos de restauro por prioridades e o sistema vai gradualmente normalizando até sexta-feira, dia em que a Swat Team regressa a casa.

Não posso estar mais orgulhoso da postura de toda a nossa equipa, que ajudou em tudo o que foi solicitado e sempre dispostos a dar mais. Em particular à Swat Team que sem hesitar, mesmo com outros compromissos pessoais e deixando a família numa época festiva, rumaram a um cenário hostil levando apenas bagagem para um ou dois dias e o portátil. Regressaram uma semana depois, com poucas horas de sono, mas com sentimento de missão cumprida e um sorriso no rosto.

Repito, não posso estar mais orgulhoso. Orgulhoso por ter uma equipa que sob pressão brilhou na avaliação e execução. Orgulhoso, mas não surpreso, nada surpreso porque a KI é isto e só quem tem “isto” tem lugar na KI.

Se somos perfeitos? Não. Cometemos erros? Sim, claro, somos humanos. Temos qualidade? Sem dúvida alguma que sim. Como costumo dizer, quando nos perguntam o que nos diferencia, é que na Knowledge Inside sentimo-nos como se fizéssemos parte da equipa dos clientes e sofremos com os seus problemas como se fossem os nossos problemas.

Obrigado pela leitura!

Leituras adicionais:

A importância da gestão dos acessos privilegiados
Mais um caso real de ransomware
Mais uma história de ransomware, a principal ameaça do presente e do futuro

Comments