Por Sérgio Matsuura, Maurício Ferro e Ivan Martínez-Vargas, do Globo — Superior Tribunal de Justiça (STJ), Prefeitura de Vitória, Governo do Distrito Federal e, mais recentemente, a Embraer. Todos foram vítimas de um ataque cibernético conhecido como ransomware, no qual os criminosos “sequestram” dados usando criptografia e exigem pagamento de um resgate para liberá-los. A lista de casos que se tornaram públicos é extensa e diversa em todo o mundo. Segundo especialistas há uma segunda onda global dessa modalidade de crime digital, e os brasileiros estão entre os principais alvos.
Um em cada três ataques com ransomware acontece no setor corporativo, e as companhias brasileiras estão na mira. Um estudo da Kaspersky, desenvolvedora de softwares de segurança, revelou que, numa amostra de 30 mil tentativas de sequestro de dados empresariais no mundo entre janeiro e maio deste ano, o Brasil foi o país com mais casos.
Outro relatório da Kaspersky, o “Panorama de Ameaças na América Latina”, mostra 1,3 milhão de tentativas de ataque com ransomware registrados na região entre janeiro e setembro deste ano, média de 5 mil por dia. Quase metade (46,7%), cerca de 2.300 ações, era contra alvos no Brasil. Para Fabio Assolini, analista de segurança da Kaspersky, a pandemia é uma das explicações.
— De uma hora para outra, foi todo mundo para o home office. Empresas tiveram que colocar funcionários em trabalho remoto às pressas, e o acesso mais comum foi via RDP, remote desktop protocol, que já é nativo do Windows. Acontece que esse protocolo tem falhas, e muitas empresas demoram para instalar as correções — explica. — No Brasil, a média diária de ataques de força bruta contra o RDP era de cerca de 400 mil. Com a pandemia, tivermos picos de 2,5 milhões.
‘Dupla extorsão’
Nos ataques de força bruta, os criminosos usam grande poder computacional para tentar descobrir senhas. Com milhões de pessoas trabalhando remotamente, a chance de encontrar credenciais fáceis de serem adivinhadas aumentou. Após a invasão dos sistemas, o sequestro dos dados está a apenas alguns passos. Os softwares maliciosos criptografam dados e restringem o acesso. Então vêm as mensagens dos hackers pedindo dinheiro pela chave do cadeado virtual.
Antenados:Isolados pela pandemia, brasileiros com mais de 60 encaram a tecnologia e invadem mundo digital
Outro ponto que facilita a ação dos criminosos é o uso de tecnologias obsoletas. Na América Latina, 55% dos computadores ainda usam o Windows 7, que teve o suporte encerrado pela Microsoft em janeiro, não recebe mais atualizações de segurança. E 5% estão com o Windows XP, descontinuado em 2014.
De acordo com Assolini, estamos vendo neste ano uma segunda onda de ataques desse tipo. Na primeira, entre 2014 e 2017, as ações eram até mais numerosas, pois os disparos aconteciam em massa. O caso mais conhecido foi o WannaCry, que afetou de uma só vez mais de 200 mil empresas e órgãos públicos em vários países, inclusive no Brasil.
— Antes os criminosos atiravam para todo o lado, hoje a estratégia mudou. O número de ataques caiu, não só no Brasil, mas eles se tornaram mais planejados e bem executados. São mais prejudiciais às vítimas — diz o especialista. — Perderam em quantidade, mas ganharam em qualidade.
No passado, os ataques criptografavam dados e a liberação acontecia mediante pagamento de resgate. Agora, com leis de proteção de dados sendo criadas em vários países, eles também roubam as informações e exigem pagamento para que elas não sejam divulgadas.
— Estamos chamando esses ataques de ransomware 2.0. Antes de estourarem a bomba, eles pacientemente copiam os dados. Depois, praticam a dupla extorsão, exigindo pagamento para decifrar os arquivos e para não vazarem as informações, o que poderia acarretar multas pesadas — explica Assolini.
André Carneiro, diretor no Brasil da Sophos, outra empresa de segurança digital, estima que esse tipo de crime cibernético movimente no mundo ao menos US$ 2 bilhões por ano em resgates. E aceitar a extorsão nem sempre leva à recuperação dos dados, diz ele:
— Dos que pagam, 38% não recebem a chave.
A motivação, observa o especialista, é sempre financeira. E a recente valorização do bitcoin, moeda pedida pelos criminosos para dificultar o rastreamento, é um incentivo.
O recente ataque à Embraer também foi provocado por um ramsomware, como revelou O GLOBO. Foi detectado em 25 de novembro, mas teve repercussões por ao menos uma semana. A fabricante de aviões tem projetos cujo vazamento pode afetar sua competitividade. Uma série de servidores foram desligados para minimizar o ataque.
Segundo funcionários, os hackers pediram resgate em criptomoedas. A Embraer não quis dar detalhes. No comunicado que fez ao mercado na última segunda-feira, disse que continuava operando “com uso de alguns sistemas em regime de contingência, sem impactos relevantes sobre suas atividades”.
Sem ‘backup’, saída é pagar
Uma vez “sequestrado”, os especialistas recomendam uma resposta rápida para a contenção do malware: desconectar sistemas. Depois, é preciso remover a ameaça das máquinas infectadas. Se a empresa tiver backup isolado, é possível recuperar os dados. Se não houver cópia de segurança, a única saída é pagar o resgate.
— Imagine um cadeado que, em vez de quatro dígitos, tem 5 mil. É isso. Essas chaves criptográficas são impossíveis de serem quebradas — compara Pedro Diógenes, diretor técnico da CLM, especializada em segurança da informação.
Foi exatamente o backup que salvou o STJ. A Corte informou no dia 4 de novembro, uma quarta-feira, que sua rede fora afetada no dia anterior. As atividades foram paralisadas, e a Polícia Federal foi acionada. Prazos processuais foram suspensos, assim como todas os julgamentos. O STJ passou a trabalhar em regime de plantão, com expectativa de restabelecer os serviços no dia 9.
Porém, o STJ comunicou o restabelecimento completo dos serviços só no dia 18. Informou que restavam “somente ajustes pontuais em aplicações administrativas” que ainda apresentavam “instabilidades momentâneas”. Segundo o tribunal, a PF investiga a “extensão do acesso aos arquivos” pelos hackers, bem como se os criminosos tinham feito cópia de dados e até de processos.
Dois dias após o ataque ao STJ, o Governo do Distrito Federal foi alvo de ação semelhante. Todos os sistemas foram desligados rapidamente, e a rede foi normalizada em menos de 24 horas, sem dado “perdido, corrompido ou roubado”, segundo a Secretaria de Economia do Distrito Federal.
No mesmo dia, houve uma ação contra o Ministério da Saúde. Inicialmente, a pasta informou ter identificado um “vírus” em estações de trabalho. Para contê-lo, bloqueou o acesso à internet, às redes e aos sistemas de telefone. Depois, o secretário-executivo Élcio Franco reconheceu “indícios” de “tentativa de ataque cibernético”, sem “comprometimento, sequestro ou vazamento de informações”.
O Tribunal Superior Eleitoral (TSE) também foi atacado no primeiro turno das eleições, mas aparentemente sem intenção de sequestro. Era uma ação de negação de serviços, coordenada para derrubar sistemas com volume imenso de acessos simultâneos. Dados roubados anteriormente do TSE foram divulgados, mas não houve dano à eleição e suspeitos foram presos.
Treinamento para riscos
Para evitar essas ações criminosas, as empresas devem se preparar com soluções de segurança em camadas. O antivírus instalado nos computadores dos funcionários não é suficiente. É preciso investir em tecnologia e bons processos, como a atualização constante dos sistemas operacionais e de outros softwares. E o principal, frisam os especialistas: treinar funcionários.
Anderson Ramos, diretor-executivo e fundador da empresa de cibersegurança Flipside, diz que as grandes empresas aumentaram a preocupação com riscos de falhas no sistema desde o início da pandemia com a massificação do home office. Mas observa que, com empregados em casa, ficou mais difícil a capacitação de todos sobre os riscos à segurança da rede corporativa.
De acordo com Ramos, a maioria dos programas maliciosos conhecidos precisa que algum usuário faça coisas como clicar em links ou instalar programas que infestam a rede. Embora sejam mais raros, há também ransomwares que exploram falhas mesmo sem interação com usuários.
— A segurança precisa ser um hábito. Quando as pessoas saem de casa, fecham a porta. Quando deixam os terminais, precisam bloquear o computador. A gente aprende desde criança a não conversar com estranhos, então não pode abrir e-mails e mensagens de desconhecidos — recomenda Diógenes, da CLM. — As pessoas precisam ter tanto medo de serem alvo de malwares como de serem assaltadas na rua. Até porque, hoje, o dinheiro não está mais na carteira, está em bancos de dados.
