O que diz a empresa

A empresa de segurança cibernética CrowdStrike divulgou uma nota na qual assume a responsabilidade pelo apagão cibernético que afetou  empresas e serviços em diversos países. De acordo com o CEO da CrowdStrike, George Kurtz, o problema já foi “identificado, isolado e uma correção foi implantada.”

Problema decorre de uma atualização de conteúdo para computadores com o sistema operacional Windows, da Microsoft, relacionados ao sensor Falcon. Em consequência, o computador trava e aparece a chamada “tela azul da morte”, que indica que há problemas com o computador.

Há relatos de perturbações, em especial, aplicativos de bancos, empresas da área de comunicação e companhias aéreas que, seguindo protocolos de segurança, acabam não podendo decolar voos.

“A CrowdStrike está trabalhando ativamente com clientes afetados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows. Os hosts Mac e Linux não são afetados. Este não é um incidente de segurança ou ataque cibernético. O problema foi identificado, isolado e uma correção foi implantada.” Manifestação pelas redes sociais é do CEO da CrowdStrike, George Kurtz.

Kurtz sugeriu aos clientes que acessem o portal de suporte da empresa para obter as atualizações mais recentes. “Recomendamos, ainda, que as organizações garantam a comunicação com os representantes da CrowdStrike por meio de canais oficiais. Nossa equipe está totalmente mobilizada para garantir a segurança e estabilidade dos clientes CrowdStrike.”

Explicação e solução do problema

“O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo brasileiro (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades, que identifiquem nos inventários de ativos, a existência do CrowdStrike Falcon em parques computacionais e que monitorem a publicação de atualizações da aplicação, disponibilizadas em https://supportportal.crowdstrike.com/s/login/.” Assim se pronunciou o Governo brasileiro no site do GSI.

Alerta do Gabinete de Segurança acrescenta que medidas de mitigação para casos de travamentos ou indisponibilidade de sistemas operacionais Windows, envolvem a inicialização do Windows no modo de segurança ou no ambiente de recuperação. Na sequência, é necessário acessar o diretório C:\Windows\System32\drivers\CrowdStrike; identificar o arquivo que corresponde ao padrão "C-00000291*.sys" e excluí-lo. Por fim, reinicializar o sistema.

As orientações incluem informações preliminares divulgadas pela CrowdStrike sobre o incidente, indicando o link de acesso ao portal de suporte. Informam também o link disponibilizado pela plataforma de computação em nuvem Microsoft Azure com procedimentos para recuperação de máquinas virtuais em ambiente.

Em vez de proteção, o Falcon

bagunçou as comunicaações 

Uma falha na atualização de conteúdo relacionada ao sensor de segurança CrowdStrike Falcon, que serve para detectar possíveis invasões de hackers, foi a causa do ataque cibernético desta sexta-feira (19), que deixou milhares de empresas e pessoas em todo o mundo sem acesso a sistemas operacionais, especialmente o Windows, da Microsoft.

A empresa de segurança cibernética Crowdstrike, responsável pelo apagão, foi categórica ao afirmar que o incidente de hoje não foi um ataque. O que de fato aconteceu na madrugada desta sexta-feira, de acordo com a empresa, foi uma atualização de conteúdo para os arquivos hosts Windows da Microsoft. 

Um arquivo Host é usado pelo sistema operacional no mapeamento de hosts amigáveis para endereços IP (Protocolo de Internet) numéricos que identificam e localizam um outro host em uma rede IP. Esses arquivos host contém linhas de texto que são endereços de IP e eles se comunicam.

O CrowdStrike Falcon que foi atualizado e acabou dando problema é um sensor que pode ser instalado justamente nos sistemas operacionais Windows, da Microsoft, Mac ou Linux. São módulos de produtos que se conectam a um ambiente de soluções de segurança chamados de endpoint, que é hospedado na nuvem. Esse sensor permite acesso instantâneo às informações de "quem, quando, onde e como" ocorreu um ataque, e sua arquitetura criada em nuvem permite períodos de resposta e correção rápidos e precisos. 

Um endpoint security, ou ponto final de segurança, oferece proteção para os dispositivos. A computação em nuvem é o fornecimento de serviços de computação, incluindo servidores, armazenamento, banco de dados, rede, software, análise e inteligência, pela internet (a nuvem), oferecendo inovações rápidas com recursos flexíveis e economias de escala. E foram esses serviços que apresentaram dificuldades de acesso a plataformas de empresas em todo o mundo. 

De acordo com a Lei Geral de Proteção de Dados (LGDP), a segurança de endpoint trabalha para garantir a proteção das informações sensíveis, e ajuda a empresa a cumprir as regras de proteção de dados. Isso quer dizer que há uma necessidade crescente de medidas de segurança que as empresas devem ter para evitar ameaças cibernéticas.

Mitigação

Mais cedo, a Microsoft informou que medidas de mitigação estavam sendo adotadas, mas alertou que muitos usuários poderiam não conseguir acessar vários aplicativos e serviços, como ocorreu ao redor do mundo. As empresas afetadas acabaram identificando que utilizam o sistema de segurança da CrowdStrike

Por causa da situação ocorrida hoje, as ações da empresa, cotadas na abertura do mercado acionário a US$ 351 dólares, eram negociadas na tarde desta sexta-feira a US$ 297, uma queda de mais de US$ 50, o  que significou uma perda de valor de mercado da CrowdStrike superior a US$ 2 bilhões em um único dia.   

Ataques rastreados

O site da empresa CrowdStrike informa, em seu Relatório Global de Ameaças, tendências e eventos notáveis em todo o cenário de ciberameaças, que detectou 34 adversários recém-identificados em 2023. Mais de 230 ataques adversários no total foram rastreados pela empresa, e as intrusões na nuvem, onde ocorreu o problema verificado hoje, aumentaram em 75%. 

Segundo a empresa, o tempo para comprometimento de e-crime mais rápido registrado foi de dois minutos e sete segundos. O relatório também apontou que o aumento de vítimas de roubo de dados identificados na dark web foi de 76%. O relatório de inteligência examina como os adversários estão operando e constata-se uma furtividade sem precedentes, com adaptação dos ataques rápidos para evitar a descoberta pelos sistemas de segurança (conteúdo da Agência Brasil).