Maior banco da China evitou ransomware… por usar servidor desatualizado
O Banco Industrial e Comercial da China, ICBC, é considerado uma das maiores entidades bancárias no mercado a nível de ativos. Faz alguns meses, a entidade sofreu um ataque informático, onde ransomware terá sido instalado nos sistemas da mesma.
Apesar de o ataque ter sido rapidamente contido, isto não terá ocorrido porque a entidade financeira estaria a usar práticas de segurança adequadas e recentes… mas sim exatamente o oposto. O ataque apenas foi contido rapidamente porque o sistema afetado pelo ransomware estaria consideravelmente obsoleto.
Não é a primeira vez que existem histórias de sistemas considerados como “fundamentais” que se encontram em sistemas bastante antigos, muitas vezes com décadas sem atualizações. Isto nem sempre é considerado seguro, mas para o caso da ICBC pode ter sido uma ajuda.
Os ataques de ransomware possuem apenas um objetivo: levar ao bloqueio dos ficheiros nos sistemas infetados, obrigando as entidades a pagarem caso pretendam voltar a ter acesso aos mesmos. Em alguns casos, esses conteúdos são roubados antes de serem encriptados, para levar as vítimas a terem ainda mais tendência a pagar – ou podem ter os dados publicamente divulgados.
No caso da ICBC, a entidade foi alvo de um ataque de ransomware pelo grupo Lockbit. No entanto, este não terá sido mais grave porque os sistemas afetados estariam consideravelmente desatualizados.
A entidade usava um servidor extremamente antigo, da fabricante Novell, o qual se encontrava com o seu próprio sistema operativo Novell NetWare. Este sistema possui mais de 20 anos, sendo que a marca Novell não se encontra no mercado faz mais de dez anos.
O único motivo pelo qual o ransomware não terá causado mais estragos dentro da entidade será porque o mesmo não estava preparado para encontrar um sistema tão antigo. Quando este tentou correr dentro do Novell NetWare, o mesmo simplesmente falhou, uma vez que o malware não estaria preparado para este sistema.
Neste caso em particular, isso pode ter ajudado a prevenir que o ataque tivesse dimensões mais elevadas, e teoricamente, pode ter sido considerada uma proteção contra o mesmo. No entanto, de longe, usar um sistema antigo não é de todo recomendado, visto existirem outras falhas que podem ser exploradas para ataques em larga escala.
Ao mesmo tempo, é importante ter em conta que este ataque também demonstrou que a entidade necessita de atualizar os seus sistemas, já que os atacantes terão acedido ao sistema interno da entidade explorando uma falha do Citrix Bleed, que era conhecida faz mais de um mês antes do ataque.