Originalmente publicado por Jota, em 18/05/2021
Os ataques cibernéticos continuam acontecendo a todo vapor. E o ransomware é um dos tipos de ataques que mais tem aumentado, desde 2020. Ransomware é um tipo de software malicioso, ou malware, que criptografa dados em um computador tornando-o inutilizável. O cibercriminoso mantém os dados como reféns até que o resgate seja pago. Se o resgate não for pago, os dados da vítima permanecem indisponíveis. Os cibercriminosos também podem pressionar as vítimas a pagar o resgate, ameaçando destruir os dados ou divulgá-los para o público. A situação é agravada por uma nova modalidade de serviço de “aluguel” de ransomware, conhecida como RaaS – Ransomware as a Service.
Com esse tipo de serviço, muitos cibercriminosos que desenvolvem o malware permitem que outros criminosos com menos conhecimento técnico utilizem o RaaS, pagando parte do valor subtraído das vítimas, em caso de ataque bem-sucedido. Em 2020, de acordo com o relatório da ChainAnalysis, o valor pago por vítimas de ransomware cresceu 311% em relação a 2019, alcançando US$ 406 milhões em criptomoedas[1]. E, em uma atualização de seu relatório, feita em 14 de maio[2], a ChainAnalysis afirma que os ataques com ransomware não perderam o ritmo nos primeiros 5 meses de 2021.
No Brasil, em novembro de 2020, houve um ataque de ransomware ao Superior Tribunal de Justiça (STJ). Naquela ocasião, o cibercriminoso teve acesso aos sistemas do STJ e criptografou todos os dados, inclusive o sistema de processo eletrônico da Corte. Os criminosos chegaram a deixar uma mensagem em formato de texto, pedindo um resgate pelo sequestro digital[3]. Já no final de abril foi divulgado outro ataque de ransomware, desta vez ao Tribunal de Justiça do Rio Grande do Sul (TJRS), e os estragos ainda estão sendo analisados. Ainda no início de maio, foi relatado um ataque ao principal sistema de gasoduto da Costa Leste dos Estados Unidos, da empresa Colonial Pipeline, que acabou desativando a sua operação e, neste caso, há indícios de que a empresa pagou o resgate de aproximadamente 5 milhões de dólares.
O resgate deve ser pago?
O ataque à Colonial Pipeline teve grandes reflexos no mundo real. Houve a necessidade de paralisação da operação da empresa, com o fechamento de dutos, aumento da demanda e consequente escassez de combustível no país. E o preço médio do galão da gasolina nos EUA ficou acima de três dólares pela primeira vez desde 2014[4]. A Bloomberg noticiou que a empresa pagou pelo resgate de seus sistemas, logo após o ataque[5]. Contudo, a solução de decriptação fornecida pelos cibercriminosos para recuperar os sistemas era tão lenta que a empresa continuou com os esforços de restauração de suas cópias de segurança.
Esse é um dos problemas ao se pagar esse tipo de resgate. Não há garantia de que os cibercriminosos irão fornecer os meios necessários para a recuperação dos sistemas e informações ou mesmo que essas informações não serão vendidas posteriormente na Dark Web. Nos EUA, o FBI (Federal Bureau of Investigation) recomenda o não pagamento de resgate a cibercriminosos[6]. Além da já citada falta de garantia de recuperação dos dados ou da venda de informações, pagar um resgate pode acabar servindo como incentivo o crescimento do mercado de ciberataques e financiamento de outras atividades ilícitas.
A DarkSide, uma platarforma de RaaS – RansomWare as a Service – assumiu que o ataque à Colonial Pipeline foi realizado utilizando seus serviços. Em um comunicado fornecido à rede CNBC[7], o grupo afirmou que suas ações são “apolíticas” e que o objetivo deles é ganhar dinheiro e não criar problemas para a sociedade. Afirmam ainda que irão implantar uma política de “moderação” para a utilização do serviço para “evitar consequências sociais em futuros ataques”. O mesmo grupo afirmou que atacou outras três empresas, além da Pipeline, sendo uma delas brasileira. Segundo o site CISO Advisor[8], a empresa brasileira seria o Grupo Moura e houve o roubo de 400GB de arquivos, que começaram a ser publicados no site de vazamentos da DarkSide na Dark Web último dia 20 de abril. No dia 14 de maio, os servidores da DarkSide foram desligados[9], mas esta é apenas uma das muitas plataformas que oferecem o serviço de RaaS.
Prevenir é melhor que remediar
Pagar ou não pagar o resgate não é uma pergunta fácil de se responder. Assim, o velho clichê é muito adequado em relação à segurança cibernética: prevenir é melhor que remediar. É importante conhecer os principais meios de disseminação dos malwares, especificamente dos ransomwares. Segundo o IC3[10] (Internet Crime Complaint Center), ligado ao FBI, os principais vetores dos ransomwares são: (i) campanhas de e-mail phishing, aquele e-mail que parece real mas contém links ou arquivos maliciosos; (ii) vulnerabilidades do protocolo Remote Desktop (RDP), aquele protocolo que permite o acesso remoto a computadores por meio da Internet e que ficou muito comum em tempos de pandemia; (iii) vulnerabilidades de softwares, especialmente de sistemas operacionais, que permitem e exploração para obter acesso ao computador da vítima para espalhar o ransomware.
E como minimizar os riscos de se tornar mais um refém virtual? Devemos considerar três fatores para isso: tecnologia, procedimentos e pessoas.
Em relação à tecnologia, há algumas boas práticas que ajudam nesse sentido, como: (i) manter cópias de segurança – offline – atualizadas de dados, sistemas e configurações e, claro, testar periodicamente essas cópias de segurança; (ii) utilizar autenticação multi-fator; (iii) manter sistemas atualizados, com últimos patches de correção e segurança aplicados; (iv) manter soluções de segurança adequadas e atualizadas, de acordo com um bom plano de avaliação de riscos; (v) manter, revisar e executar periodicamente o plano de resposta a incidentes e de continuidade de negócios.
Quanto a procedimentos, a EY lista algumas ações interessantes[11]: (i) considerar a contratação de um seguro de proteção para incidentes de segurança e interrupção de negócios; (ii) ter uma equipe de resposta a incidentes de segurança com experiência em eventos de ransomware; (iii) estabelecer uma política corporativa quanto a considerar o pagamento do resgate uma opção, avaliando a legalidade dessa política, bem como quando e como tal decisão deve ser tomada e os meios para aquisição de criptomoedas; (iv) ter um plano de ação detalhado para o caso de um incidente com ransomware, incluindo a lista de pessoas, entidades e empresas que devem ser acionadas; (v) avaliar a capacidade de recuperação de cópias de segurança em grande escala.
Contudo, um ponto que é muitas vezes negligenciado é o fator humano. É importante manter uma cultura de conscientização e treinamento constante sobre comportamento digital seguro, para todos os colaboradores das organizações. Por mais que a tecnologia seja importante para minimizar riscos, ela não é per si suficiente. Nesse sentido, algumas ações institucionais são importantes, como: (i) estabelecer um programa de capacitação constante em segurança da informação e proteção de dados; (ii) simulação de phisphing para identificação e orientação de pessoas mais vulneráveis a esse tipo de ataque; (iii) palestras, eventos e orientação constante sobre as principais vulnerabilidades, ameaças e ataques recentes.
Não custa lembrar: a segurança digital é responsabilidade de todos e, principalmente, de cada um de nós.
[1] https://www.jota.info/opiniao-e-analise/artigos/cibercrimes-criptomoedas-bitcoin-31032021. O valor original era de 311 milhões de dólares, mas foi atualizado em 14mai2021, conforme relatório da Chainanalysis, disponível em https://blog.chainalysis.com/reports/ransomware-update-may-2021.
[2] https://blog.chainalysis.com/reports/ransomware-update-may-2021
[3] https://www.jota.info/opiniao-e-analise/artigos/cibercrimes-criptomoedas-bitcoin-31032021#_ftn4
[4] https://www.cnbc.com/2021/05/13/gas-shortage-average-price-tops-3point02-a-gallon-as-colonial-pipeline-restarts.html
[5] https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom?srnd=premium
[6] https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf
[7] https://www.cnbc.com/2021/05/13/colonial-pipeline-paid-ransom-to-hackers-source-says.html
[8] https://www.cisoadvisor.com.br/grupo-moura-e-vitima-do-ransomware-darkside/
[9] https://gauchazh.clicrbs.com.br/mundo/noticia/2021/05/servidores-do-darkside-autor-de-ciberataque-nos-eua-sao-desconectados-ckooj0hpy005001i4gqoi76aa.html
[10] https://www.ic3.gov/Home/About
[11] https://www.ey.com/en_gl/consulting/ransomware-to-pay-or-not-to-pay