69 grupos brasileiros sofreram sequestros digitais com resgates de até R$ 50 mi
Por Felipe Gugelmin | Editado por Claudio Yuge | 09 de Agosto de 2021 às 17h20
Em crescimento ao redor do mundo, o número de sequestros digitais — também conhecidos como ataque de ransomware — também têm afetado o Brasil. O levantamento “Ransomware na Dark Web” da Apura Cyber Intelligence mostra que 69 empresas nacionais foram vítimas desse tipo de ação no primeiro semestre de 2021, que foram marcadas por pedidos de resgate que chegavam a até R$ 50 milhões.
- Cibercriminoso revela como funcionam os sequestros digitais por encomenda
- Empresa de transporte de valores Protege sofre tentativa de sequestro digital
- Ataque de ransomware que afetou 20 países traz código que evita alvos na Rússia
Segundo o estudo, as áreas de saúde (12), indústria/manufatura (11) e o setor público (7) foram os mais visados pelos cibercriminosos. Eles atuam com um método chamado de extorsão dupla: além de cobrar para liberar os sistemas prejudicados pelo ransomware, também há a extorsão de valores para que dados sigilosos de suas operações não sejam divulgados publicamente ou vendidos a grupos interessados.
A situação faz com que o Brasil ocupe o 7º lugar no ranking mundial dos países mais afetados por sequestros digitais, ficando atrás dos Estados Unidos, Canadá, França, Reino Unido, Alemanha e Itália no ranking. Segundo a Apura, o fato de os EUA aparecerem em primeiro não é surpresa: como a maior economia do mundo, o país se torna um alvo atraente para gangues de cibercriminosos, que veem nos ataques à infraestrutura local uma forma de lucrar com facilidade.
A empresa também aponta que a Rússia é o único país entre as maiores potências digitais que não teve dados de empresas locais publicados na dark web. A situação do país faz com que governos como os dos Estados Unidos e do Reino Unido o acusem de acobertar e incentivar as atividades de cibercriminosos — gangues como o REvil, CozyBear e DarkSide usam códigos que evitam regiões geográficas locais ou sistemas que tenham o russo como idioma principal.
Ransomware como Serviço em alta
O relatório mostra que a maioria dos grupos responsáveis por ataques digitais atualmente operam no modelo Ransomware as a Service (RaaS, ou Ransomware como Serviço, em uma tradução livre). Em troca de uma comissão, eles oferecem a afiliados métodos de invadir sistemas e cobrar resgates — normalmente, os operadores ficam com 30% dos valores obtidos, enquanto os afiliados ficam com os demais 70%.
“Dessa forma, os grupos conseguem maximizar o faturamento ao mesmo tempo em que minimizam os riscos, tendo em vista que os afiliados ficam responsáveis por toda parte operacional”, explica a Apura. “Os operadores se ocupam exclusivamente de negociar os valores e recebê-los, fazendo depois a partilha com os afilhados”.
As gangues mais ativas costumam usar sites da Dark Web para expor suas vítimas, pressionando-as para pagar os valores exigidos. Para compor os dados da pesquisa, a Apura acompanhou a planilha criada e mantida pela empresa de cibersegurança Darktracer, na qual são listadas as vítimas dos ransomware, o nome do grupo responsável e a data em que as informações roubadas foram divulgadas.
Confira as principais descobertas:
- 69 empresas brasileiras tiveram seus dados divulgados na Dark Web, fazendo com que o país ocupasse a 7ª posição no ranking mundial de ataques. Os setores mais afetados foram Saúde (12), Indústria/Manufatura (11), Setor Público (7), Finanças (6) e Outros (5);
- Dos 39 grupos identificados pela Darktracer, 16 tiveram operações registradas no Brasil. Os maiores atacantes a empresas nacionais foram o MAZE (10), Avaddon (9), Prometheus (9), Pysa (7), Egregor (7) e Conti (6);
- Grupos que afirmam estar encerrando suas atividades na verdade estão somente mudando de nome e do tipo de ameaça que usam para evitar sua detecção e responsabilização por ataques anteriores;
- Das 1014 amostras de ransomware que estima-se existir ou já ter existido, somente 39 (4%) foram identificadas publicando informações das corporações vitimadas;
- Embora dê-se muito destaque a empresas atingidas por sequestros digitais, eles também podem afetar indivíduos, o que faz com que seja praticamente impossível estimar o número real de vítimas.
Segundo a Apura, os sequestros digitais não são uma atividade nova, e não se deve esperar que eles desapareçam em qualquer futuro próximo. Enquanto notícias sobre o fim de grupos como REvil, Darkside e Avaddon pareçam animadoras, na prática elas tendem a significar somente uma reordenação das atividades dos cibercriminosos, que devem voltar com novos métodos de ataque e identidades.
O custo relativamente baixo dos ataques, aliado à possibilidade de realizá-los de qualquer lugar do mundo e aos pagamentos em criptomoedas — que garantem a privacidade dos envolvidos — é um grande estímulo à realização de novos ataques. Nesse sentido, o setor industrial surge como um alvo particularmente atraente, visto que os pagamentos exigidos acabam sendo menores do que o prejuízo causado pela paralização das atividades de empresas da área.
Para a empresa, o único método de lidar com a situação é estar preparado e realizar investimentos em sistemas de segurança inteligentes, backups frequentes e atualizações de seus sistemas. Também é necessário realizar treinamentos constantes, garantindo que a informação disponível sobre os ataques de ransomware e os métodos usados por cibercriminosos cheguem às pessoas que podem impedi-los de se proliferar.