Bandidos comuns aliam-se a hackers nos ataques de ransonware, alerta Oyku Isik, professora de cibersegurança da escola suíça IMD
Dez anos atrás, quando os ataques de ransonware – o sequestro de dados em troca de resgate – começaram a ganhar força, havia apenas um punhado dessas ameaças no ciberespaço e os hackers seguiam um modus operandi. “Naquela época, as organizações que pagassem, costumavam receber seus dados de volta”, diz Oyku Isik, professora de estratégia digital e cibersegurança na IMD Business School, sediada na Suíça. Nos últimos dois anos, porém, com a entrada de novos personagens em cena, os casos se multiplicaram e o padrão mudou.
Essa mudança de comportamento se deve, principalmente, à ação dos “afiliados”. “Eles não são hackers. São criminosos comuns que se separam depois de ganhar dinheiro com um ataque cibernético”, explica Isik.
Os afiliados compram os vírus dos hackers e se encarregam de infectar os sistemas da vítima. É o chamado RaaS (ransonware como serviço), uma imitação do modelo padrão na indústria de tecnologia, a do software como serviço ou SaaS. Uma vez codificados, os dados ficam inacessíveis e só são liberados com uma chave digital. O resgate é dividido, mas os afiliados não entram na gangue ou seguem suas orientações. Pelo contrário, com frequência cada vez maior, acabam se insurgindo contra os parceiros de crime.
/i.s3.glbimg.com/v1/AUTH_63b422c2caee4269b8b34177e8876b93/internal_photos/bs/2024/x/o/flkRaHSBqu0THU3bzwnw/arte10emp-102-ciber-b2.jpg)
Um episódio ocorrido em janeiro do ano passado ilustra a situação, diz a professora. Depois do ataque a um hospital infantil no Canadá, o LockBit – então a maior quadrilha de ransonware do mundo – divulgou um pedido de desculpas, afirmando não ter sido responsável pelo episódio. O grupo, que se comprometera a não prejudicar hospitais, atribuiu o ataque a um afiliado rebelde e ofereceu a chave de decodificação para que as informações fossem recuperadas.
Essa nova dinâmica aumenta as incertezas sobre o destino das informações roubadas. A vítima não sabe com quem está negociando e, mesmo que pague, é provável que entre numa lista de lista “bons pagadores” e volte a ser atacada.
As fissuras entre cibercriminosos ocorrem pelos mais diversos motivos, incluindo posições políticas ou ideológicas. “À medida que os grupos crescem, as divergências também aumentam”, observa Isik.
Quando a Guerra da Ucrânia começou, conta a professora, membros de um grupo de ransonware deu demonstrações públicas de apoio ao presidente russo Vladimir Putin. Irritada, outra parte, que era pró-Ucrânia, divulgou o código-fonte do vírus, permitindo que pesquisadores criassem um antídoto e tornassem inócuos eventuais ataques.
“Existem divergências culturais e políticas nesses grupos. Então, não podemos confiar [que as quadrilhas cumprirão o prometido]. Idealmente, nenhuma organização deveria pagar [resgate], mas as empresas não podem estar despreparadas. Essa não é uma opção”, afirma Isik.
Cientista da computação com graduação e pós-graduação pela Universidade Bilgi de Istambul, na Turquia, onde nasceu, e PhD pela Universidade do Norte do Texas, nos Estados Unidos, Ysik vive atualmente em Londres e é um expoente da chamada resiliência digital. A expressão significa que a despeito de todos os esforços para evitar falhas de segurança, uma organização precisa saber o que fazer no caso de um invasão ser bem-sucedida ou haja um vazamento de dados.
Só neste ano, a expectativa é que os gastos com cibersegurança atinjam US$ 215 bilhões no mundo, com aumento de 14,3% em relação ao volume de 2023, de US$ 188,1 bilhões, segundo a consultoria Gartner. A previsão é que áreas como privacidade de dados e segurança em nuvem terão aumento superior a 24%.
Apesar do investimento maciço, a previsão é que os danos continuarão a aumentar, como tem ocorrido nos últimos anos. Pela primeira vez, os ataques de ransonware renderam aos hackers mais de US$ 1 bilhão em 2023, segundo a Chainalysis, empresa de análise de blockchain. Nos EUA, essas invasões cresceram 74%, com 2.825 casos, divulgou o FBI.
A maioria das empresas não parece preparada para reagir à altura, como mostra um estudo do Fórum Econômico Mundial: 61% das organizações consultadas disseram que só atendem aos requisitos mínimos de resiliência digital ou não os atendem de forma alguma.
“Nenhuma organização consegue ter 100% de segurança, então os esforços também deveriam incluir o investimento para lidar com o incidente cibernético. Esse é o princípio central da resiliência digital”, diz Isik.
Gastos globais com cibersegurança neste ano devem somar US$ 215 bilhões
A questão pode determinar a vida ou a morte de uma companhia. Em 31 de dezembro de 2019, a Travelex, empresa britânica de câmbio, foi atacada por um grupo de ransonware chamado Sodinikibi, o mesmo nome do vírus usado para infectar a companhia. À época, os hackers disseram à BBC que haviam sequestrado 5 gigabytes de dados pessoais dos clientes, incluindo números de cartão de crédito. Os criminosos também disseram que já fazia seis meses que os sistemas haviam sido invadidos e estavam sob monitoramento. O pedido de resgate teria sido de 4,6 milhões de libras.
A princípio, a Travelex ocultou o incidente, diz Isik. Nos sites da companhia, que saíram do ar, apareciam mensagens de que o sistema estava em manutenção planejada ou em processo de atualização. Só mais tarde a Travelex admitiu que fora atacada.
Os efeitos do ataque, associados às dificuldades provocadas pela covid-19, acabaram levando a companhia à insolvência. Em agosto de 2020, a Travelex anunciou a demissão de 1,3 mil pessoas. O controle passou às mãos de um grupo de credores, que adquiriu as operações no Reino Unido e em outros países, inclusive no Brasil.
Seguiu-se um processo de reestruturação, com mais demissões e uma reformulação completa da administração. A PwC, que cuidou do processo, ressaltou em relatório que o ransonware foi um dos principais responsáveis pela queda da Travelex.
Atitude muito diferente teve a Norsk Hydro – companhia norueguesa de alumínio e energia renovável -, que conseguiu resultados muito melhores. Em março de 2019, a empresa foi atacada por hackers, que codificaram áreas essenciais de tecnologia. Para liberar o acesso, os criminosos exigiam um resgate em bitcoins. Em vez de esconder o problema, como fez a Travelex, a Norsk Hydro passou a informar, publicamente e em detalhes, o que estava fazendo para evitar os danos.
As medidas incluíram webcasts diários para responder às perguntas do público e conferências de imprensa periódicas, com os jornalistas acompanhando os trabalhos nas salas de operação. A empresa se recusou a pagar o resgate e assumiu a tarefa de se livrar do problema, o que incluiu a volta a processos manuais e a contratação de equipes de segurança da Microsoft.
“Foi uma comunicação frequente e muito honesta. Como exercício de ‘branding’, foi muito interessante”, diz Ysik. Ao fim, o ataque provocou perdas de US$ 70 milhões, mas em vez de sair com a reputação arranhada, a Norsk Hydro tornou-se um exemplo de transparência.
O episódio também mostra como o elemento humano é importante para qualquer política de cibersegurança. O vírus foi inoculado na rede da Norsk Hydro depois de um único funcionário clicar em um e-mail infectado, que fora enviado por um cliente considerado confiável.
Essa é uma técnica de engenharia social, que usa elementos familiares para manipular o comportamento da vítima. É o mesmo princípio usado por um tipo de crime que está se disseminando no Brasil. Gangues de adolescentes bem-vestidos estão se passando por moradores para ludibriar os porteiros e ganhar acesso ao condomínio, onde roubam apartamentos vazios.
Para Isik, que recentemente falou em um encontro virtual promovido por ex-alunos brasileiros da IMD, uma forma de se proteger é a contratação de “hackers éticos”. “São profissionais que tentam alcançar a organização por todos os meios necessários. Isso pode significar tentar enganar a recepcionista se passando por funcionário ou entrar pela janela. O ‘hacker ético’ tem uma perspectiva mais ampla sobre como encontrar as vulnerabilidades”, afirma a professora. “É uma boa ideia porque a fronteira entre o mundo físico e o digital está cada vez mais tênue.”
As empresas também devem pensar em como tratar da cibersegurança com os funcionários sob uma perspectiva psicológica, afirma a especialista. Ela está escrevendo um artigo acadêmico sobre inteligência emocional, em que aborda esse assunto.
“Ser enganado por hackers pode acontecer com qualquer um. O maior problema é culpar a vítima. Se um funcionário clica no link de um e-mail contaminado, ele deveria se sentir confortável em contar que cometeu um erro, sem medo de retaliação”, diz Isik. A recomendação da professora é automatizar os processos tanto quanto possível e criar um ambiente psicologicamente seguro para que, caso uma invasão ocorra, os funcionários não se sintam culpados, mas sejam parte da solução.
Fonte: Valor Econômico, reprodução