Nas primeiras semanas de janeiro, tornaram-se bastante frequentes notícias de supostos ciberataques no Brasil que derrubaram plataformas públicas como SUS e Correios. Na mídia internacional, a situação não tem sido diferente, com a invasão dos sites de um dos maiores grupos de mídia da Europa.
Mas o que todos esses casos apresentam em comum? Além de um mesmo grupo ter reivindicado tais ações, esses ataques vêm sendo declarados como do tipo “ransomware” - termo que vem da junção de ransom (resgate) com malware -, cibercrime que vem crescendo durante os últimos anos.
Recapitulando
No final de 2021, foi notificado publicamente no dia 10 de dezembro que o site do Ministério da Saúde havia sofrido um suposto ataque cibernético, tirando do ar o seu site e afetando o funcionamento de portais como o “ConecteSUS” e o “Portal Covid”.
Algumas semanas depois, no dia 27 de dezembro, uma das maiores empresas de telecomunicação brasileira também passou por instabilidade em suas aplicações, segundo seus usuários. Diante disso, um grupo hacker acabou assumindo publicamente que havia invadido os sistemas da operadora, sendo responsável pela desestabilização de suas aplicações.
Além disso, mais recentemente, um dos maiores conglomerados midiáticos de Portugal admitiu que também foi alvo de um ataque cibernético, comprometendo a comunicação entre funcionários e o funcionamento de ferramentas utilizadas para a produção de programas televisivos.
Todas essas ofensivas recentes foram reivindicadas pela organização que se autodenomina como “Lapsus$ Group”, a qual realiza operações de forma profissionalizada, com um “call center” disponível 24 horas por dia para que a vítima possa entrar em contato com o grupo.
É importante explicar que o tipo de ataque realizado por esse grupo vem sendo tratado pela mídia como do tipo “ransomware”, o qual é caracterizado pela paralisação dos sistemas da vítima, seguido de um pedido de resgate financeiro para liberação.
No caso brasileiro, investigações da Polícia Federal identificaram que o grupo invadiu plataformas do Ministério da Economia, dos Correios e de mais de 20 órgãos do governo federal. Ainda, tal apuração federal tem indicado que a porta de entrada dos criminosos teria sido uma falha de segurança na infraestrutura de nuvem privada, subsidiária da Embratel.
Até então, a vulnerabilidade desse armazenamento tem sido a maior suspeita como meio utilizado pelo grupo para invadir essas organizações.
Com a recente mudança para o trabalho remoto em muitas empresas e organizações, devido à pandemia da COVID-19, muitas lacunas surgiram em sistemas de defesas cibernéticas. Em 2021, grandes empresas dos setores de varejo, saúde, aviação, etc. foram alvos desse tipo de ataque.
Vale lembrar que a ameaça de ransomware existe desde os anos 1980, mas foi só a partir de 2015 que começou a se tornar conhecida, sobretudo a partir do caso do hospital Hollywood Presbyterian Medical Center, o qual foi completamente fechado até que se pagassem um resgate, além do caso do ransomware “WannaCry” de 2017 que infectou computadores por todo o planeta.
Como funciona o ransomware?
Em resumo, o ransomware é um malware, isto é, um software intencionalmente feito para causar danos a um computador, servidor, cliente ou a uma rede de computadores sendo projetado para negar a um usuário ou organização acesso aos arquivos em seu sistema.
Nesse tipo de ataque, os cibercriminosos conseguem acessar de modo remoto o sistema virtual da empresa, governo ou até mesmo o computador pessoal. Os detalhes da implementação desse malware variam de acordo com o tipo de ransomware. Entretanto, praticamente todas variantes compartilham três estágios principais:
Etapa 1 – Vetores de infecção e distribuição
O ransomware pode obter acesso aos sistemas de uma organização de diferentes maneiras. No entanto, os operadores de ransomware tendem a preferir alguns vetores de infecção específicos.
Nessa etapa, tem o e-mail com mensagem de texto de phising (e-mail malicioso com link que hospeda um download ou anexo com o malware).
Também há o vetor de infecção que se aproveita do Remote Desktop Protocol (RDP), no qual o invasor utiliza as credenciais de login de um funcionário para acessar remotamente o sistema, baixando diretamente o malware na máquina.
Importante destacar que outros vetores podem tentar infectar diretamente o sistema por meio de alguma vulnerabilidade do seu código e/ou da própria rede.
Etapa 2 – Criptografia de dados
Em seguida, os invasores sequestram as informações privadas e criptografam os arquivos, impossibilitando o acesso desses dados pelo usuário. Isto é, depois que o sistema é controlado pelo ransomware, ele pode criptografar os dados com uma chave controlada pelo invasor e substituir as originais pelas versões criptografadas. Existem variantes que excluem cópias de backup, tornando essa situação ainda mais difícil.
Etapa 3 – Exigência de resgate
Com os dados criptografados, é realizado um pedido de pagamento do resgate, ameaçando a vítima a pagar como a opção mais fácil e barata para recuperar o acesso ao sistema e seus dados.
Atualmente, a maioria dos pedidos de pagamento tem sido feito em criptomoedas, fazendo com que se torne difícil o rastreio da transação e, com isso, a localização dos criminosos.
Como se proteger contra o ransomware?
Em muitos dos casos, a prevenção para esse tipo de ataque acontece por meio da restauração via backup, ou seja, cópia de segurança dos arquivos e dados. Contudo, o risco de vazamento de informações indevidas ou sensíveis ainda permanecerá. Portanto, a adoção das seguintes práticas pode reduzir a exposição ao ransomware e minimizar seus impactos:
1 – Treinamento e educação para conscientização sobre segurança cibernética
Tem se tornado cada vez mais importante treinar os usuários da organização sobre como identificar e evitar possíveis ataques de ransomware. Isso se aplica com a finalidade de evitar clicar em links de e-mail suspeitos e criar senhas mais fortes (autenticação do usuário), bem como aumentar a conscientização sobre a segurança no desenvolvimento de aplicações
2 – Backup dos dados de forma contínua
A proteção auferida por meio da automatização de backups de dados permite que a organização se recupere de um ataque com o mínimo de perda de dados possível e, ainda, prescindir de pagar um resgate.
3 – Monitoração e correção de vulnerabilidades do sistema
Os invasores também podem explorar as vulnerabilidades da aplicação da organização com o propósito de instaurar o malware. Portanto, manter testes e realizar monitoração de segurança frequente no sistema são essenciais.
Ransomware e segurança
Para todas as empresas e organizações, o ransomware tem se tornado uma preocupação recorrente. Isso acontece porque as ameaças de segurança cibernética como desse tipo podem desabilitar negócios e causar danos à marca da empresa ou da imagem do governo, além dos altos custos financeiros.
Top comments (0)