O trabalho remoto durante a pandemia e a valorização de criptomoedas turbinaram o sequestro de informações sigilosas de companhias e organizações públicas, elevando o chamado ransomware ao posto de ataque mais lucrativo do cibercrime.

Neste ano, gigantes como JBS e Colonial Pipeline, a maior rede de oleoduto dos Estados Unidos, foram alvo desse tipo de ação, que consiste em invadir redes corporativas, copiar ou criptografar dados pessoais de funcionários e clientes e pedir um pagamento milionário em bitcoin para não vazá-los na internet.

Como o resgate é feito em moedas não rastreáveis, é difícil precisar quanto essa atividade ilegal movimenta por ano. A estimativa para 2020 supera US$ 350 milhões (R$ 1,77 bilhão), de acordo com a Chainalysis, empresa especializada na análise de transações em blockchain, a rede que opera o bitcoin.

A relação entre ransomware e o trabalho remoto é que, ao distribuir as pessoas geograficamente, muitas companhias não revisaram protocolos ou instruíram seus empregados sobre segurança digital, permitindo o aumento de brechas de acesso a cibercriminosos. O maior exemplo, alertam especialistas, está em programas que permitem a conexão remota de trabalhadores às suas máquinas corporativas.

Qualquer funcionário que utilizar uma senha simples, como 123456, para acessar o computador da empresa pode servir de canal para que um invasor adentre a rede e vasculhe sistemas inteiros da organização.

O relatório global Verizon DBIR, um dos mais confiáveis do mercado de segurança digital, que capta dados de múltiplas fontes empresariais e governamentais, mostra que o ransomware responde por 10% dos incidentes cibernéticos. O índice parece baixo, mas chama a atenção sua rápida evolução. Em 2018, o ataque representava menos de 2%.

Outro detalhe é que ele é muito mais custoso a uma operação empresarial do que outros tipos de hacking, como o de negação de serviço, por exemplo, que impossibilita o carregamento do site para os clientes.

Esse crime tem alvos bem direcionados e visam alto retorno financeiro. A JBS, cujo caso tornou-se público, decidiu pagar US$ 11 milhões (R$ 55 milhões) neste mês para não ter suas informações sensíveis publicadas.

Em 2020, o maior pedido de resgate chegou a US$ 30 milhões (R$ 150 milhões), segundo a empresa de cibersegurança Palo Alto Networks. Já a maior quantia desembolsada foi de US$ 10 milhões (R$ 50 milhões), considerando Estados Unidos, Canadá e Europa. Embora a maior parte das organizações opte por não ceder à chantagem, a média estimada de custo envolvendo questões jurídicas e policiais em um incidente do tipo é de US$ 73,8 mil, mais de R$ 370 mil.

As companhias americanas, canadenses e europeias costumam estar entre as mais visadas de acordo com relatórios de segurança digital. O Brasil, embora domine outros rankings de crime cibernético, virou um destaque em ransomware durante a crise de Covid-19. Foram atacados o STJ (Superior Tribunal de Justiça), o Tribunal de Justiça do Rio Grande do Sul, empresas na área de energia e a Embraer, que não pagou aos criminosos e teve documentos como contratos de aviões circulados na internet.

A empresa russa Kaspersky, uma das líderes de mercado no país, colocou o Brasil entre as cinco nações mais atingidas por ransomware em 2020. Os chamados ataques de força bruta, quando um hacker usa diversas técnicas para obter a senha de um usuário, subiram 330% no país, com um pico no início da pandemia.

Esse aumento tem ligação direta com tentativas de ransomware, pois são o primeiro passo para o acesso a sistemas remotos, segundo Fabio Assolini, pesquisador de segurança sênior da companhia. Só a Kaspersky detectou entre seus clientes brasileiros 4.354 tentativas de ataque no primeiro trimestre deste ano.

"O ransomware é tão antigo quanto a história da computação, era distribuído por disquete e tinha de ser pago com cheque. Ele vem se repaginando e começa a atacar infraestruturas críticas à população, como o caso do Pipeline", diz o especialista. Ele afirma que empresas de energia elétrica no Brasil só não sofreram apagão porque têm a rede distribuição separada da área de tecnologia da informação.

Há cerca de 50 gangues reconhecidas por esse tipo de ataque no mundo, a maioria do Leste Europeu. Os grupos costumam adentrar as redes, estudá-las, verificar as soluções de segurança disponíveis e o valor dos dados. Uma tática comum antes de dar o bote é a criação de uma cortina de fumaça, um incidente menor usado como isca de distração às equipes de segurança.

A cada cerco de autoridades, o cribercrime se especializa para manter seus negócios ativos. Nos últimos anos, à medida que o ransomware ganhou mais atenção e rendeu mais dinheiro, as quadrilhas começaram a se ultraespecializar e dividir tarefas em pequenos grupos, o que tem gerado "aumento de produtividade", segundo Alexandre Sieira, cofundador da Tenchi Security.

"Tem gente especializada em varrer a internet em busca de sistemas vulneráveis ou expostos, outro em desenvolver uma solução de ransomware e alugá-la: 'Quer fazer o ransomware? Ser o cara que entra, criptografa os dados e cobra?' É como uma franquia, e tem o que faz o equivalente à lavagem de dinheiro com o bitcoin."

Em resumo, vários grupos trabalham de forma simultânea e em larga escala.

Além do aumento da ofensiva a companhias lucrativas, da manufatura à saúde, as gangues também têm apostado em governos, a fim de captar informações críticas de áreas da administração pública. Nesse caso, não tentam apenas burlar senhas de VPN, mas enviam phishings (uma isca, por aplicativo ou email, com um código malicioso) e realizam uma série de ataques de negação de serviço.

Existe até o ransomware como serviço, um modelo baseado em assinatura que permite aos afiliados usarem ferramentas para executar ataques e ganhar uma porcentagem de cada pagamento de resgate bem-sucedido. ​

"Observamos um grupo chamado Prometheus que se refere às suas vítimas como 'clientes' e se comunica com elas por meio de um sistema de bilhetagem de atendimento, que os avisa quando os prazos de pagamento se aproximam", afirma Jen. Eles ainda usam ferramentas como um timer que faz a contagem regressiva de horas, minutos e segundos até o prazo de pagamento.

Autoridades governamentais têm discutido maneiras de conter o avanço desse tipo de atividade —o tópico foi debatido por representantes do G7 em reunião recente. Por enquanto, há duas principais propostas na mesa: classificar ransomware e o cibercrime em geral como terrorismo, o que facilitaria a cooperação transnacional, ou tentar sufocar o pagamento por criptomoedas, tentando regulamentá-las globalmente, o que não seria uma tarefa simples.

Como evitar ransomware na sua empresa

• Aplique todas as correções de segurança —esses ataques exploram vulnerabilidades já conhecidas
• Habilite o segundo fator de autenticação para dificultar o acesso por força bruta em serviços que utilizam somente login e senha
• Tenha o backup dos dados, mas não online —isso é essencial para o retorno imediato das operações
• Utilize DLT (data loss prevention, prevenção da perda de dados): é um grupo de tecnologias que identifica, por exemplo, se um programa está lendo em segundo plano mil arquivos por segundo ou se um dado sensível está sendo exportado para fora da empresa
• Não use software pirata

• Mantenha a rede sempre atualizada

• Instrua funcionários sobre o acesso remoto e sobre senhas fortes

Fontes: Cert.br, Palo Alto, Kaspersky