Dados sequestrados da Atento vazam e Brasil deve ser o foco do cibercrime

Atualização 01/11/2021 16h36: Originalmente, a reportagem trazia registros de dados internos que fariam parte do vazamento de dados da Atento. A empresa solicitou a remoção das imagens e esclareceu que as telas não fazem parte do comprometimento de informações registrado nesta segunda (01), em pronunciamento reproduzido na íntegra.

A semana começa com o vazamento de dados corporativos da prestadora de atendimento Atento, resultado de um ataque de ransomware confirmado pela companhia no dia 17 de outubro. A liberação das informações aconteceu neste domingo (31), com informações corporativas e de setores financeiro e comercial fazendo parte do volume e expondo nomes completos, datas de nascimento e e-mails de gestores e executivos da companhia.

• Ataque ransomware na Atento segue afetando call center de várias empresas
• Caso Renner: como atua uma sala de guerra nas empresas vítimas de um ransomware?
• Gangue LockBit intensifica sequestros digitais com ferramentas remodeladas

A exposição das informações também representa o cumprimento das ameaças dos responsáveis pelo ataque à prestadora de serviços e indica, ainda, que a Atento não pagou o resgate pedido, cujo valor segue desconhecido. A data de 1º de novembro já aparecia, desde a última semana, em sites pertencentes ao grupo de origem russo Lockbit, com um ultimato para que a companhia realizasse a negociação — os dados, agora, estão disponíveis na mesma página.

Toda a situação, porém, pode representar mais do que apenas uma intrusão a uma das principais companhias do Brasil. É, também, um forte indicativo de que o nosso país se tornou um dos grandes alvos de cibercriminosos internacionais, que trabalham com o sequestro de dados e ameaças de liberação de informações de usuários e clientes em troca de polpudos resgates.

A empresa de atendimento, que presta serviços para algumas das principais marcas do Brasil, é o caso mais recente e também o maior em uma lista que, apenas nas últimas semanas, também contou com Renner e CVC. Aquilo que era tendência, ainda neste começo do ano, se torna uma realidade cada vez maior e mais perigosa, principalmente quando o Brasil é posicionado ao lado de seus vizinhos latino-americanos e, também, mundiais. Há ampla superfície de ataque por aqui e muitas companhias gigantescas que, com toda certeza, atiçam o apetite dos criminosos.

“Pensando como um estrangeiro, o Brasil é hoje o melhor país do mundo para se atacar. Temos empresas poderosas e uma tecnologia defasada, além de cultura [de cibersegurança] ultrapassada. É uma equação com resultado previsível”, afirma Daniel Lofrano Nascimento, ex-hacker e consultor em segurança digital. Para ele, o comprometimento dos sistemas da Atento não foi uma coincidência, e sim, um alvo altamente direcionado por sua importância e conexão com tantas outras grandes marcas.

De acordo com o site oficial da Atento, 400 empresas multinacionais utilizam seus serviços de atendimento e call center, incluindo líderes de setores relevantes como telecomunicações, varejo e finanças, entre tantos outros. Nomes como Mercado Livre, iFood, Vivo e Bradesco são apenas alguns dos gigantes que fazem parte da carteira de clientes da companhia, fundada em 1999 e com atuação em outros 12 países.

Por trás do golpe está o LockBit, bando cibercriminoso de origem russa que contaria com cerca de 200 membros e já ganhou as páginas do noticiário devido aos ataques contra os sistemas da Accenture, uma das maiores empresas globais de consultoria e tecnologia da informação. Outros alvos também já haviam sido feitos no Brasil, mas a Atento, sem dúvida, é o maior deles. “Tínhamos sorte de nenhum grupo forte internacional visar [nosso país]. Agora, estamos sob risco. Vivemos em uma guerra no mundo da tecnologia e vamos apanhar, pois não estamos prontos”, completa Nascimento.

“Os ataques de ransomware têm sido impulsionados por dezenas de novos participantes nesse negócio, que tem um modelo bastante lucrativo. Ele está em plena expansão e não é mais tendência, mas sim uma realidade”, completa Claudio Bannwart, diretor regional da Check Point Software Brasil. Ele cita a pandemia da covid-19 como o principal fator para esse aumento, com a adoção rápida de sistemas remotos e as brechas de segurança criando oportunidades para os bandidos.

Dados da própria Check Point Research comprovam essa ideia. De acordo com a empresa de cibersegurança, o número médio de ataques semanais aumentou 62% no Brasil em 2021; são 967 ocorrências registradas e um pico global observado em setembro deste ano. Quando se fala apenas em ransomware, o crescimento é de 8%, com o setor de varejo sendo o mais atingido, seguido de saúde e turismo.

Ao mesmo tempo, uma pesquisa realizada pela Forrester e encomendada pela Tenable, focada em gerenciamento de risco em segurança digital, mostrou que 51% dos ataques recebidos no Brasil ao longo do último ano foram de ransomware. “Em geral, estamos vendo um aumento de golpes contra indústrias de manufatura, a segunda mais atacada em 2020, com serviços financeiros em segundo. O impacto e os prejuízos milionários geram um retorno de pressão enorme das empresas, com operações paralisadas, e consequentemente, um retorno de investimento alto para os cibercriminosos”, complementa Arthur Capella, country manager da companhia no Brasil.

Planejamento e extração

O principal efeito sentido após o ataque aos sistemas da Atento foi a interrupção nos serviços de atendimento, prejudicando o suporte a clientes das maiores empresas do país. Um comprometimento desse tipo, entretanto, não começa quando os arquivos são travados e os sistemas impedidos de funcionar, sob pedido de resgate, mas bem antes, quando os bandidos têm acesso à rede e podem passar muito tempo despercebidos, obtendo informações e analisando alvos até desferirem o golpe que deixa clara sua presença.

“O ataque de ransomware é um trabalho que começa em uma máquina a se expande de forma silenciosa, lateralmente, pela rede. Depois de ativada a criptografia, se inicia a dupla extorsão, com a ameaça de manter os sistemas [travados] e também divulgar os dados obtidos”, explica Bannwart. Ele cita, também, o surgimento de casos de tripla extorsão, em que não apenas a própria atacada recebe pedidos de resgate, mas também os clientes ou parceiras cujas informações foram comprometidas. Foi esse processo que levou à exposição dos dados da Atento nesta segunda.

Algumas amostras do que pode ter sido obtido pelo grupo criminoso além disso foram compartilhadas com a reportagem pelo consultor em segurança, que indica um dano ainda maior. Elas incluem uma lista com logins de um supervisor de suporte da Atento, com e-mails e senhas inseguras que seguem um padrão claro, além de listagens de pastas com arquivos de companhias que usam os serviços da fornecedora de call center e podem dar acesso a informações sensíveis de cada uma delas.

Nas imagens vistas, aparecem registros relacionados a pelo 16 grandes companhias com operação no Brasil, cujos nomes serão mantidos em sigilo por razões de segurança. A lista inclui uma montadora de automóveis, gigantes do varejo, um plano de saúde, uma investidora, uma fabricante de eletrônicos e uma empresa do setor editorial. O Canaltech também teve acesso a uma tela de monitoramento de entregas de uma empresa de delivery, com direito a dados de um entregador e o registro de um pedido feito por uma personalidade brasileira; nos dois casos, estavam expostos nomes completos e telefones, enquanto o segundo também continha endereço e e-mail. A Atento nega que os registros façam parte do vazamento desta segunda-feira (01) e solicitou a remoção dos arquivos, acatada pela reportagem.

Além disso, a empresa de call center divulgou um comunicado no qual afirma que a exposição está relacionada a registros de transações com clientes, sem dados de usuários finais das companhias atendidas. Além disso, a Atento reafirmou que muitos de seus serviços já voltaram a operar de forma definitiva e que segue investigando e analisando o caso junto às autoridades. Confira a íntegra do pronunciamento:

NOVA YORK, 1 de novembro de 2021 – A Atento S.A. (NYSE: ATTO, “Atento” ou a “Companhia”), empresa líder em soluções CX e terceirização de processos de negócios (CRM/BPO) na América Latina e um dos cinco maiores provedores mundiais, em decorrência ao ataque à segurança cibernética nos sistemas de TI da empresa no Brasil ocorrido no domingo, 17 de outubro de 2021, detectou evidências de que ocorreu um possível acesso não autorizado do sistema interno da empresa, resultando na publicação de dados de manutenção de registros comerciais e financeiros da Atento, em que a exposição se limita a um registro de negócios de transação com clientes. Não há evidências de exposição de dados de clientes ou usuários finais. A Atento continua trabalhando com as autoridades para agilizar, na medida do possível, o esclarecimento desses atos ilícitos e a retirada das informações que os perpetradores acessaram e publicaram de forma ilícita. As investigações e análises forenses ainda estão em andamento e a Atento segue comprometida com seus clientes em amenizar as consequências deste ataque do qual foi vítima. Em 23 de outubro, retomou as operações do data center e começou progressivamente a recuperar os serviços dos demais sites afetados. A partir deste final de semana, muitos dos serviços voltaram a operar de forma definitiva ou em modo de contingência, ambos com medidas de segurança máxima em vigor. A Companhia comunicou imediatamente o incidente às autoridades competentes, incluindo a polícia, e implantou todos os protocolos de segurança cibernética disponíveis para avaliar e conter a ameaça identificada como um ataque de ransomware, chamado Lockbit 2.0. Com isso, foi possível avaliar, conter e neutralizar a ameaça isolando a Atento Brasil da rede da Companhia. Para prevenir qualquer possível risco aos clientes, a Atento suspendeu proativamente as conexões de seus sistemas.

Ponto de partida

“A partir de uma empresa-mãe, [como a Atento], é possível conhecer muito sobre todas as outras. A gente pode estar falando de um dos maiores vazamentos de dados da história do país”, afirma Nascimento. Ele aponta, também, o desconhecimento de muitos clientes e cidadãos sobre como funcionam os sistemas de atendimento e, principalmente, o fato de que, ao acessarem tais plataformas, estão falando com terceirizados que manipulam seus dados de forma direta, realizando alterações em conta, lidando com meios de pagamentos e demais tarefas de acordo com a companhia atendida.

“Interconexões entre empresas e sistemas de terceiros sempre são tratados como um ponto de atenção em especial, pois podem ser vetores de ataques ou canais para movimentação lateral e proliferação de malware”, completa Bannwart. Na visão dele, existe certa maturidade em relação à proteção de aplicações web desse tipo, mas também um déficit na proteção contra ataques mais sofisticados, sendo que a principal rota de defesa em casos como o da Atento é o isolamento dos sistemas atingidos.

Foi justamente essa a atitude tomada pela companhia. Em comunicado emitido em 21 de outubro, a companhia disse ter detectado um ataque e iniciado protocolos de segurança que envolveram o isolamento dos sistemas impactados e também a suspensão de conexões, motivo da interrupção nos atendimentos de tantas empresas. O foco, afirmou, foi garantir a proteção e a integridade dos dados e plataformas dos clientes.

A Atento também disse estar investigando o caso e avaliando o impacto nos negócios, enquanto a maior parte dos serviços, ainda que com limitações, voltou a funcionar nas primeiras 24 horas. A companhia, por outro lado, não comentou diretamente sobre a possibilidade de vazamento de dados, mesmo quando contatada especificamente sobre isso pelo Canaltech, nem sobre valores de resgate e eventuais pagamentos ou não.

Da base à especialização

Nascimento traz à mesa um segundo problema da realidade tecnológica brasileira, que também teria participação direta na colocação de um alvo sobre o Brasil para cibercriminosos internacionais. O consultor aponta a falta de treinamento dos colaboradores e até mesmo gestores de empresas terceirizadas, que lidam com informações altamente sensíveis, assim como uma cultura defasada em relação ao trato com os profissionais de segurança digital.

“Existem muitos especialistas em tecnologia no Brasil, temos grandes programadores e engenheiros de projetos, mas estamos ultrapassados [quando o assunto] são as quebras de segurança”, explica. Ele aproxima o trabalho ao de um consultor, que não apenas deve entender sobre sistemas de defesa e mitigação, mas também intermediar negociações de forma proativa, em caso de ataque realizado, e agir com informações privilegiadas para prever tendências ou investir em preparação, para evitar comprometimentos. “Os profissionais que de fato podem tentar combater tudo isso não são valorizados, enquanto a palavra ‘hacker’ soa como algo saído de um filme.”

Na visão dele, é esse tipo de abordagem que explica tanto os ataques a grandes empresas do país como, também, a fuga de cérebros, seja para fora do Brasil quanto, possivelmente, para dentro dos times de cibercriminosos. “Se a gente muda a concepção de segurança da informação, também podemos mudar a proteção do próprio país. Não se trata apenas de fraudes [financeiras], a preocupação são os ataques internacionais”, completa.

Para Nascimento, o caminho para maior amadurecimento do setor também passa pelo trabalho de base, com apoio a jovens interessados em tecnologia e cibersegurança que podem servir como peças importantes do inventário de proteção corporativa. Desde já, ele aponta também um maior reconhecimento e investimento em profissionais focados em hacking, no lugar do foco completo em conformidade que afirma ser a norma no setor.

“Os ataques de ransomware estão tão dispersos que a visibilidade se torna cada vez mais difícil. Porém, muitas das técnicas podem ser [combatidas] se as organizações entenderem onde estão expostas e que ações precisam tomar para reduzir o risco”, completa Capella. Na visão dele, verificações constantes de cibersegurança e higiene cibernética básica são o começo da conversa, com o monitoramento constante sendo a principal recomendação.

Bannwart também cita a consolidação de soluções como estratégia para combater ameaças avançadas, unificando sistemas de gerenciamento e vigilância. A abordagem de prevenção, entretanto, deve vir em primeiro lugar, com a implementação de estratégias preventivas que possam eliminar ameaças antes que elas comprometam os sistemas e seus usuários. “O cibercrime está evoluindo em um ritmo tão vertiginoso que ficar para trás na proteção pode ter consequências sérias, principalmente quando a segurança está desatualizada”, completa, indicando uma distância de duas gerações, com vantagem para os bandidos, entre os ataques e os procedimentos de proteção vigentes na maioria das corporações.

A falta de apoio governamental, ainda, é citada como um grande ponto de tensão, tanto em termos de investimentos quanto na já citada baixa valorização dos profissionais. “Não é preciso ser nenhum gênio para enxergar o Brasil como uma mina de dinheiro. O Brasil tem uma economia potente e dimensão continental, mas remunera e treina mal. Fosse o contrário, não estaríamos nessa situação”, finaliza.

Com informações do Tecmundo.