As principais ameaças cibernéticas que atingiram o Brasil em 2021
Por Felipe Demartini | Editado por Claudio Yuge | 17 de Dezembro de 2021 às 20h20
2021 não foi um ano nada fácil para a cibersegurança, com os índices de ameaças e alertas vermelhos ainda acesos enquanto nos aproximamos do final de dezembro. Foi um período de consolidação para os cibercriminosos, com os ataques generalizados iniciados na pandeia ganhando corpo, sofisticação e direcionamento, se tornando mais devastadores. Isso sem falar nos vazamentos de dados, invasões de sistemas e falhas catastróficas.
- Quais foram as senhas mais usadas em 2021?
- Antecipar ataques é a melhor recomendação para as empresas em 2022
No Brasil, também foi momento de virada, com as grandes corporações do país na mira de quadrilha de criminosos internacionais. Enquanto o ano começou com grandes vazamentos de dados e o CPF de praticamente todos os cidadãos na internet, grandes empresas do varejo, turismo e atendimento se viram diante da ameaça do ransomware, assim como as multinacionais. Uma demonstração de que o nosso país pode ser bem lucrativo para o cibercrime.
Enquanto há um certo prognóstico de melhora — o Brasil ainda é o sexto país em número de vazamento de dados, mas viu queda de mais de 30% em 2021, segundo dados da Surfshark — há também um incremento do risco. A mesma pesquisa indica que, de forma global, os golpes devem se tornar mais devastadores e direcionados em 2022; a expectativa da comunidade de segurança é que ransomware e tripla extorsão sejam a métrica para as corporações, enquanto os golpes financeiros seguem como perigo para usuários finais.
Enquanto esse cenário sombrio não chega, vamos olhar para trás e rever as principais ameaças digitais que atingiram o Brasil ao longo de 2021
Megavazamentos de dados
Mal deu tempo de os brasileiros iniciarem os trabalhos do ano. Em janeiro, uma grande exposição de dados expôs as informações de cerca de 220 milhões de pessoas — praticamente toda a população do país. Entre informações como CPF, RG, nomes completos, endereços, e-mails e telefones estavam também dados de veículos, declarações de imposto de renda, scores de crédito e até a situação de recebimento de benefícios do governo federal.
O volume foi comercializado em fóruns da dark web dividido em parcelas, com preços a partir de US$ 500, cerca de R$ 2,8 mil na cotação atual. O principal intuito eram os ataques de phishing, mas a profundidade das informações expostas também permitiriam o uso em fraudes — inicialmente, se acreditava que o banco de dados pertenceria à empresa de crédito Serasa Experian, que negou qualquer intrusão em seus sistemas.
Um mês depois, aconteceu de novo. Um volume com 102 milhões de contas de telefones celulares foi encontrado online revelando números, nomes e endereços dos assinantes de duas grandes operadoras do país; celebridades e até o presidente Jair Bolsonaro (PL) estavam entre os indivíduos que tiveram suas informações expostas neste banco. Na ocasião, a origem do vazamento não foi identificada.
Com os dados de praticamente todos disponíveis nas mãos de criminosos, valem as medidas de segurança de sempre contra ataques de phishing: ficar atento a ligações e mensagens em nome de empresas e evitar preencher cadastros, passar informações ou clicar em links que venham por esses meios. O site Registrato, administrado pelo Banco Central, também permite observar diferentes registros financeiros, como chaves Pix, bancos cadastrados e registros de empréstimos, ajudando a identificar fraudes de identidade.
Em um ano em que teve até apagão das redes sociais, uma das maiores do mundo também protagonizou um vazamento que atingiu oito milhões de brasileiros. Em abril, veio à público a informação de 533 milhões de contas do Facebook tiveram seus dados publicados na internet, com um banco de dados que, inicialmente, cobrava por consulta e, depois, foi liberado de graça.
Entre as informações estavam IDs, nomes usados na rede social, e-mails, números de telefone, dados profissionais e localização. Trata-se de um caso de raspagem de dados, em que um criminoso utiliza sistemas automatizados para catalogar informações disponíveis publicamente, mas não de forma consultável. De acordo com o Facebook, as informações expostas são antigas, datando de 2019, com a obtenção sendo fruto de uma falha em uma API do serviço.
Novamente, ferramentas criadas pela comunidade permitiram saber se os dados fazem parte do volume. Enquanto não há algo que possa ser feito uma vez que as informações são expostas, os usuários sempre podem se proteger utilizando as já citadas práticas de defesa contra golpes de phishing, evitando atender a comunicações suspeitas e usando ferramentas de privacidade disponíveis nas redes sociais.
Renner
Quem tentou fazer compra em uma das maiores varejistas do Brasil em um dia de agosto deste ano encontrou sistemas desligados e dificuldade até mesmo para pagar o que estava dentro da sacola. Foi um dos maiores casos de ransomware do país, que travou os servidores da marca e impossibilitou o acesso a bandos de dados de clientes e plataformas de operação.
As informações não confirmadas indicam que o bando RansomExx foi o responsável pelo golpe, pedindo, no início, um exorbitante resgate de US$ 1 bilhão. A Renner não confirmou nem negou o pedido, nem disse se o atendeu ou não; na ocasião, a empresa disse que as lojas físicas não tiveram suas operações interrompidas, enquanto bancos de dado principais foram preservados do ataque.
Novamente, a recomendação em casos desse tipo é de atenção. Não existem registros de comprometimentos de informações de clientes, mas ainda assim, até mesmo a própria falha poderia ser usada como artifício para a aplicação de golpes e obtenção de dados. Caso desconfie que a comunicação é legítima, procure o suporte da empresa indicada por conta própria em vez de atender a pedidos que venham por chamada ou mensagem de texto.
Atento
Não fossem os eventos deste final do ano nos sistemas do governo federal, este seria o caso mais grave de sequestro digital de 2021. Em outubro de 2021, a prestadora de serviços de atendimento e call center Atento foi vítima de um ataque de ransomware que travou sistemas e impediu que o trabalho fosse realizado junto aos clientes de algumas das principais empresas do Brasil, como bancos, planos de saúde, plataformas de delivery e companhias aéreas.
Dias depois, em 1º de novembro, vieram a público os dados corporativos da companhia, com informações de setores corporativos, financeiro e comercial aparecendo em um volume vazado pelos criminosos do grupo Lockbit. Teoricamente, a ação aconteceu devido à ausência de pagamento de resgate, cujo valor não foi divulgado, e expôs nomes, datas de nascimento, e-mails e trocas de mensagens de gestores e executivos da Atento.
O caso serviu como um alerta para especialistas e pesquisadores de segurança brasileiros. Ao lado do ataque à Renner, apenas meses antes, o temor era de que o Brasil se tornasse um novo alvo de quadrilhas internacionais de ransomware, principalmente após a aprovação da LGPD (Lei Geral de Proteção de Dados), que determina regras de transparência e aplica sanções em casos de vazamento e exposição de informações.
Aos poucos, os sistemas foram recuperados e, em algumas semanas, todas as atividades de call center e atendimento foram retomadas pela Atento. Dados pessoais de clientes das empresas atendidas, porém, não teriam vazado.
iFood
Apenas dias depois da intrusão à Atento, e enquanto a empresa de call center ainda trabalhava para restabelecer seus sistemas completamente, veio o desfiguramento de uma das maiores plataformas de delivery do Brasil. Quem tentou pedir comida no final do feriado do dia 2 de novembro viu os nomes de estabelecimentos conhecidos, de todo o Brasil, sendo substituídos por mensagens de cunho político e antivacina.
O problema permaneceu por algumas horas, com direito a restaurantes sendo desativados ou fechados “fora de hora” enquanto a empresa lidava com o problema. Em comunicado oficial, o iFood disse que a desfiguração aconteceu por meio de uma conta de um funcionário de atendimento, que poderia ajustar as informações cadastrais dos estabelecimentos e realizou alterações indevidas. Segundo a empresa, 6% dos comércios registrados na plataforma foram atingidos.
Por outro lado, o incidente não resultou na exposição ou vazamento de dados de clientes, assim como detalhes sobre pedidos realizados ou meios de pagamento. Enquanto a normalidade se restabeleceu no iFood apenas horas depois do ocorrido, o serviço foi multado em R$ 1,5 milhão pelo Procon do Rio de Janeiro, que solicitou informações sobre o caso e não recebeu resposta.
Submarino Viagens e CVC
Também em outubro, os sistemas da CVC foram sequestrados em um ataque que tirou sites do ar e deixou sistemas inoperantes. Enquanto passagens já compradas e embarques em andamento não foram atingidos, os relatos de clientes eram de dificuldades para conseguir atendimento e realizar compras e alterações, com muitos sistemas ainda permanecendo afetados por longo dos dias e semanas seguintes ao golpe.
Isso valia tanto para interfaces públicas, disponíveis aos usuários, quanto sistemas internos de contabilidade, ERP e contas à pagar. O ataque teria sido executado a partir de credenciais de acesso vazadas do e-commerce, no final de agosto, com nomes de usuário e senhas comprometidos dando aos criminosos o acesso às plataformas internas utilizadas para detonar o sequestro. Essa possibilidade, entretanto, não foi confirmada pela empresa.
Em comunicado oficial emitido nove dias após o ataque, a CVC disse estar trabalhando para restabelecer completamente os sistemas e que não houve qualquer tipo de vazamento de dados, sejam informações internas ou de clientes e parceiros. Enquanto isso, a estimativa era de um prejuízo de R$ 30 milhões por dia de interrupção de promoções e vendas de passagens, pacotes turísticos, passeios e outros serviços.
Ministério da Saúde e outros órgãos do governo
Em um ataque que ainda está em andamento enquanto esta retrospectiva é escrita, saíram do ar o site e o sistema de registros do SUS (Sistema Único de Saúde). O ataque, iniciado pela desfiguração do site oficial da pasta, acontece em meio às discussões sobre o uso do passaporte de vacinas em viagens, chegada de estrangeiros ao país e acesso a estabelecimentos e impede o acesso aos comprovantes de imunização no aplicativo oficial do governo.
A primeira ofensiva ocorreu em 10 de dezembro, e nos dias seguintes, outros incidentes ocorreram. Foram registradas intrusões e ataques a sistemas do Ministério da Economia, Controladoria Geral da União (CGU) e Polícia Rodoviária Federal. Redes internas das pastas e externas, disponíveis aos cidadãos, assim como alguns dos sites oficiais do governo, seguem fora do ar ou com intermitências de acesso, enquanto existem indícios de vazamento de credenciais internas que permitiram a intrusão.
Em diferentes comunicados publicados ao longo da semana do dia 13 de dezembro, o Ministério da Saúde disse que os sistemas estavam sendo restabelecidos; o ministro Marcelo Queiroga chegou a afirmar que as informações retornariam na terça-feira (14). Até sexta (17), entretanto, ainda não era possível acessar informações de consultas, remédios e outros no ConecteSUS, incluindo, principalmente, os comprovantes de imunização contra a covid-19.
A recomendação é o uso de certificados de papel, emitidos no momento da vacinação, ou a utilização de soluções regionais, com aplicativos de cidades e estados não vinculados diretamente ao sistema do SUS. Eles seguem no ar e devem ser aceitos nos locais em que o comprovante de imunização estiver sendo exigido.
Log4J
Esta é uma falha que não apenas se encontra em andamento enquanto você lê este texto, mas também vem sendo citada como uma das piores registradas nos últimos anos. Uma abertura em um sistema Java, usado para registros de erros e atividades em servidores, permite que infraestruturas sejam comprometidas sem a necessidade de ataques ou credenciais. No Brasil, em apenas uma semana, mais de metade das redes corporativas foram atingidas.
Basta o envio de um código para que a infraestrutura baixe e execute soluções maliciosas a partir de servidores controlados pelos hackers. De acordo com dados da Check Point Research publicados nesta sexta (17), 59% das redes nacionais já foram atingidas por tentativas de exploração, enquanto em todo o mundo, já são mais de 3,7 milhões de incidentes registrados, com 46% dos sistemas globais impactados.
Enquanto o perigo maior está nos golpes contra corporações, usuários finais também podem estar na mira, com softwares como Minecraft, Steam e iCloud passíveis de exploração. Atualizações, por outro lado, já estão disponíveis e sendo aplicadas por companhias de todo o mundo, enquanto, no caso das empresas, esse processo pode não ser tão simples assim e, pior ainda, levar bem mais tempo para que a situação se resolva.
Na maior parte dos casos, são tentativas de instalação de mineradores de criptomoedas ou malware voltado para o roubo dos ativos, com direito até a alerta do governo brasileiro. Entretanto, isso não é motivo para calma, pois já foram registrados incidentes envolvendo ransomware como parte da vulnerabilidade Log4J; a recomendação dos especialistas é por uma auditoria completa dos sistemas para entender quais plataformas utilizam o sistema de registro, que deve ser atualizado de forma imediata para evitar ataques.