Consejos

Como o ransomware se tornou um flagelo persistente

Byron Acohido, 12 Setembro 2019

Cidades com proteção pouco resistente estão sendo devastadas por sequestros cibernéticos; empresas que dependem de provedor de serviços gerenciados podem ser as próximas vítimas.

“Só queremos saber de GRANA! Corra! Tic-tac, tic-tac, tic-tac!”

Esse é um trecho de uma nota arrepiante de sequestro* recebida por funcionários de TI de Baltimore depois que cibercriminosos conseguiram travar a maior parte dos servidores da cidade em um ataque realizado em maio. Os criminosos pediram um resgate de 76 mil dólares, a serem pagos em Bitcoins. Em troca, enviariam uma chave de decodificação para liberar as máquinas. Baltimore se recusou a pagar o resgate, tendo escolhido assumir cerca de 18 milhões de dólares em custos de recuperação*.

Cerca de 15 meses antes, em março de 2018, Atlanta sofreu um ataque parecido e também se recusou a pagar um resgate de 51 mil dólares, consumindo 17 milhões de dólares em danos*.

Mesmo com esses impressionantes ataques de alto nível, eles não revelam como o fenômeno dos ransomwares pode ser penetrante e destrutivo tanto para indivíduos quanto para empresas de todos os tamanhos e para órgãos municipais com defesas fracas.

Sondagem e pilhagem

Os ransomwares são altamente resilientes e flexíveis. Seu principal atrativo para os criminosos é que se tornou o canal direto a dinheiro ilícito que qualquer vigarista poderia sonhar, com poucos intermediários no caminho.

Olhando de cima, um ransomware é essencialmente uma plataforma aberta que opera com princípios de mercado, formando ao seu redor um ecossistema próspero* composto por fornecedores e especialistas. Isso abriu a porta para novos fornecedores*, com habilidades técnicas modestas, a entrarem na área, dando a esses novatos acesso fácil e barato a ferramentas e serviços poderosos. Enquanto isso, coletivos de cibercriminosos mais experientes investem em inovação e avanço*. O resultado é a continuidade de estilos eficientes de ataques ransomwares, assim como uma sondagem constante por bolsos vulneráveis e golpes em novos caminhos.

De acordo com o FBI*, a Polícia Federal dos EUA, o número absoluto de ataques ransomwares diários apresentou uma leve queda em relação ao ano passado. Mas isso se deve mais ao fato de os cibercriminosos terem atacado menos pessoas comuns e mirarem mais em empresas e agências governamentais. E como reforçado pelos assaltos em Baltimore e Atlanta, municipalidades estão entre os principais alvos neste momento. Uma pesquisa na mídia local* feita pela Recorded Future contou 38 ataques ransomwares contra cidades em 2017, número que subiu para 53, em 2018. Apenas nos primeiros quatro meses de 2019, 22 ataques já foram realizados.

Essa mudanças chamaram a atenção de municipalidades ao redor dos EUA. No começo de julho, cerca de 225 prefeitos de cidades americanas participaram da Conferência de Prefeitos em Honolulu, tendo assinado uma resolução* se negando a pagar resgastes a cibercriminosos.

Rendição calculada

Mas as coisas nunca são tão simples quanto parecem, não é mesmo? Pergunte aos funcionários da municipalidade de Riviera Beach e Lake City. Em junho, Riviera Beach, cuja população é de 35 mil habitantes, pagou um resgate de 65 Bitcoins*, que na época valiam 600 mil dólares, enquanto Lake City, com uma população de aproximadamente 12 mil habitantes, pagou um resgate de 42 Bitcoins*, ou 460 mil dólares, por uma chave de decodificação. Depois de semanas de problemas com os serviços públicos e enfrentando pressão do eleitorado, líderes da cidade entenderam que o pagamento de centenas de milhares de dólares como resgate seria a solução mais rápida e menos dolorosa para a situação.

E não são apenas as cidades que se encontram nesse dilema. Pequenas e médias empresas (PMEs), além de consumidores, continuam a ser alvos de ataques intensivos de ransomwares. E muitos estão concluindo que a rendição é a melhor coisa a se fazer. Uma pesquisa com profissionais de TI* conduzida pela Osterman Research nos EUA, Canada, Alemanha e Reino Unido descobriu que quase 40% das vítimas de ransomwares optam por pagar o resgate.

Em seu último relatório anual*, a gigante britânica do ramo de seguros Beazley Worldwide reportou que a média dos resgates exigidos em 2018 ficou acima dos 116 mil dólares, um valor que claramente foi influenciado por resgastes muito altos. O pedido de resgate mais alto feito a um cliente da Beazley foi de 8,5 milhões de dólares, equivalente a 3 mil Bitcoins na época. A média foi de 10.310 dólares.

Segundo a Beazley, as PMEs, que tendem a gastar menos em segurança da informação, corriam maior risco de serem atacadas por um ransomware do que empresas maiores. Além disso, o setor de saúde foi o mais atacado por ransomwares, seguido por instituições financeiras e pelo setor de serviços.

Em sua pesquisa com 600 líderes empresariais e 1.000 consumidores nos EUA, a IBM descobriu* que 70% das empresas infectadas por ransomwares pagaram resgate para retomar o acesso dos dados e sistemas da empresa, enquanto 55% delas disseram que estariam dispostas a pagar por um resgate para recuperar o acesso a fotos digitais da família.

O custo dos estragos

Esses resultados são completamente verdadeiros. Considere que, em novembro do ano passado, o FBI prendeu dois cibercriminosos iranianos* por orquestrarem um ataque de ransomware a Atlanta. De acordo com os investigadores, isso foi parte de uma série de campanhas de extorsões cibernéticas que tinham como alvo hospitais, prefeituras, instituições públicas e redes críticas nos EUA e no Canadá. O FBI acredita que a própria dupla iraniana foi responsável pelos ataques a 230 entidades, coletando 6 milhões de dólares em resgate e causando 30 bilhões de dólares em prejuízo.

Além do mais, análises recentes da Coveware, empresa fornecedora de serviços de respostas a incidentes, concluiu que o custo causado por ataques ransomwares em todos os setores aumentou durante o segundo trimestre de 2019*. Assim, o valor dos pagamentos de resgates nesse período aumentou cerca de 184%, o que representa aproximadamente 36.295 dólares em comparação aos 12.762 dólares registrados no primeiro trimestre deste ano. A Coveware também descobriu que o tempo de inatividade médio causado por um ataque de ransomware aumentou 9,6 dias no segundo trimestre de 2019, em comparação aos 7,3 dias do primeiro trimestre do ano.

O tempo de inatividade, como muitos executivos dizem, não é barato, principalmente para PMEs com poucos recursos. Uma pesquisa realizada pela Datto, fornecedora de serviços para provedores de serviços gerenciados (MSPs, da sigla em inglês), descobriu que o tempo de inatividade causado por um ransonware* pode custar mais de 8,5 mil dólares por hora às PMEs. A Datto pesquisou 1,1 mil PMEs ao redor do mundo e descobriu que 63% delas estavam lidando com ataques de ransomwares que as colocavam em risco de entrarem em tempo de inatividade. As PMEs encaram pedidos de resgates que vão de 500 a 2 mil dólares, enquanto 7% dos participantes da pesquisa da Datto disseram que o pagamento do resgate não resultou no retorno dos dados. Ao todo, 91% dos participantes disseram que seus clientes foram atingidos por ransomwares nos últimos 12 meses, com 40% relatando mais do que seis ataques distintos ao longo do ano passado. Por volta de 31% dos participantes disseram que sofreram múltiplos ataques em um único dia.

A matemática da sobrevivência

À primeira vista, pode parecer válido adotar uma política que se recusa categoricamente a pagar um resgate. De qualquer forma, os imperativos operacionais no mundo de hoje, em que o comércio é centrado na internet, geralmente acaba com a matemática da sobrevivência, especialmente para PMEs. De fato, cenários como esse se tornaram tão comuns que, recentemente, a Forrester Research publicou um guia para o pagamento de resgate*.

O cuidado que pequenas e médias organizações devem ter no ambiente de hoje, ao que parece, pode agora incluir a parceria com uma empresa especializada na negociação com cibercriminosos na busca de uma solução aceitável da situação. Isso pode envolver a construção de um processo em cenários* e a tomada de decisões para construir um relacionamento com o criminoso. De acordo com Josh Zelonis, analista sênior de cibersegurança e risco da Forrester, tudo isso serve para conferir se o criminoso está disposto a cooperar e se tem condições de fornecer uma chave de decodificação apropriada.

Casos recentes mostram que muito mais PMEs e pequenos municípios estão enfrentando esse tipo de problema: PMEs se tornaram o alvo favorito de gangues de ransomwares. Sob a perspectiva do criminoso, isso faz muito sentido. PMEs fazem grande uso de ferramentas de gerenciamento remoto para administrar os e-mails da empresa e gerenciar o compartilhamento de arquivos em nome dos seus clientes.

Imperativos das boas práticas

A extorsão cibernética já percorreu um longo caminho. Ao mesmo tempo em que o jornal USA Today fez uma reportagem sobre o assunto, em 2019, eu escrevi sobre como os fraudadores lançaram campanhas via scarewares* para travar as telas dos computadores e, assim, pedirem 80 dólares de cada um deles para proteção de aplicativos antivírus sem nenhum valor. Naquela época, ninguém podia adivinhar que essa forma de chantagem cibernética de baixo nível – tendo como alvo principal os consumidores individuais e ganhando milhões de dólares* para determinadas associações cibercriminosas – iria se transformar neste empreendimento criminoso multibilionário de hoje.

Claramente, o baralho está preparado. Fornecedores de ransomwares têm todos os incentivos, sem mencionar todas as ferramentas que precisam para encontrar organizações vulneráveis e forçá-las a fazer uma matemática de sobrevivência. No mercado digital de hoje, a resposta tradicional – categoricamente se recusando a se render – simplesmente não dá certo.

Aqueles que estão na frente de batalha defendendo esses ataques – analistas de segurança gerenciando uma Central de Operação de Segurança (SOC, da sigla em inglês) de uma empresa, administradores de TI em PMEs e MSPs trabalhando para diversas empresas – têm o maior custo com segurança. As melhores práticas de segurança são indispensáveis. As últimas ferramentas e orientações de apoio da indústria de cibersegurança através de esforços como o No More Ransom (Chega de Sequestros, em tradução livre), são extremamente necessários. É indispensável manter a atualização de antimalwares, firewalls e prevenção contra invasões de sistemas. Todo mundo precisa se tornar mais proficiente na elaboração de inventários e gerenciar proativamente o acesso e autentificação de usuários. Uma mentalidade de segurança de cima para baixo precisa ser implementada e estimulada. Falaremos mais sobre isso em breve.

A evolução do ransomware

Ransonwares ganham acesso irregular a arquivos ou sistemas de computadores. Depois, usam um sistema de criptografia robusto, que exige uma chave de decodificação, que a vítima só conseguirá mediante o pagamento de um resgate, comumente feito em Bitcoin. Aqui vai uma lista cronológica de avanços recentes de rasomwares:

  • 2013-2014: Ajustes da funcionalidade - O CryptoLocker se espalha por sites comprometidos e anexos em e-mails maliciosos, passando a pedir um pagamento em Bitcoin.
  • 2016: Petya - O Petya se espalha por arquivos em nuvem compartilhando serviços. O nome Petya é uma referência ao filme GoldenEye (1995), da franquia James Bond.
  • 2017: WannaCry - Cibercriminosos se aproveitam de ferramentas de hackeamento roubadas da Agência de Segurança Nacional (NSA, da sigla em inglês) dos EUA. O WannaCry revive o verme da internet que se autopropagava, espalhando-se automaticamente de máquina para máquina sem a necessidade de nenhuma interação com o usuário. Em menos de um dia, ele trava os discos rígidos de 200 mil máquinas rodando Windows em mais de 150 países, pedindo 300 dólares por uma chave de decodificação.
  • 2019: Cidades dos EUA atingidas - Baltimore, aeroporto de Cleveland e Taos, além de escolas do Novo México estão entre as 24 (no mínimo) municipalidades atingidas duramente na primeira metade de 2019. Duas pequenas municipalidades da Flórida – Riviera Beach e Lake City – pagaram 600 mil e 460 mil dólares, respectivamente, por chaves de decodificação.

* Original em inglês.