Ransomware, o parasita da Transformação Digital

Por Carlos Cabral*

Conforme amplamente noticiado, diversas organizações públicas e privadas têm sofrido ataques cibernéticos em que foi ativado um tipo de programa malicioso chamado ransomware. Trata-se de uma modalidade de invasão que não é nova, mas vem aumentando significativamente desde o início da pandemia, período no qual as empresas privadas e públicas foram forçadas a apressar algumas etapas da tão falada Transformação Digital. Ocorre que o ransomware é como a faísca necessária para explodir um ambiente já inundado de combustível. Ataques como estes servem de alerta para mostrar que as empresas precisam considerar seriamente a realização de investimentos, não apenas financeiros, mas de implementação de processos essenciais para a segurança.

• Três dicas para proteger empresas de sequestros virtuais
• Computadores quânticos são o futuro da criptografia
• Cabo USB espião manda tudo o que você digita para invasores

Antes de avançar na argumentação, cabe um breve disclaimer técnico a respeito do conceito de ransomware que é amplamente difundido em meios de comunicação. Primeiramente, precisamos lembrar que ransomware é uma categoria de ataque cujo objetivo é bloquear o acesso dos usuários aos seus dados, muitas vezes criptografando os arquivos, o que significa dizer que há vários tipos de ransomware, cada qual com uma especificidade. Porém, a maioria dos ataques que temos observado, na verdade, podem ser categorizados como de double extorsion.

A dupla extorsão consiste em demandar um pagamento de resgate para que (1) os criminosos forneçam a chave que desbloqueia os arquivos e (2) os arquivos roubados não sejam vazados. Aqueles que decidem não pagar o resgate, além dos impactos do vazamento dos dados, podem ter que enfrentar dias extenuantes de reconstrução do ambiente. Portanto, o método de double extorsion difere da simples adoção de ataques automatizados.   

Isso posto, trazemos alguns dados que mostram a evolução de incidentes envolvendo ransomware durante a pandemia. Um estudo da Temple University (EUA) com foco em ataques direcionados a instalações de infraestrutura crítica aponta para um aumento de 370% entre 2018 e 2020. Importante notar que os ataques contra infraestruturas críticas são apenas uma parte do total de ataques envolvendo esse tipo de malware, mas o dado consegue dar uma dimensão do crescimento da ameaça. 

Essa modalidade se tornou uma atividade altamente profissionalizada, com níveis de especialização que podem ser comparados ao que se encontra em indústrias de ponta. Por falar em indústria, essa também é uma comparação válida, pois movimenta cifras exorbitantes anualmente, obtendo receita principalmente nos pagamentos dos resgates, porém com algumas gangues vendendo os dados de empresas que não pagam o resgate a outros criminosos. Falando de forma bastante clara: é uma atividade de crime organizado, que não é operada aleatoriamente por indivíduos, mas, sim, por quadrilhas que dividem as tarefas por especialidade entre afiliados e, em alguns casos, se ajudam em regime de cartel.  

A questão é que, na maioria das vezes, quando o ransomware é ativado e o ataque é descoberto, já é tarde demais e os danos podem ser severos, pois o que ocorre é que os criminosos invadem a rede de grandes organizações, passam dias selecionando e extraindo informações sensíveis e após estarem satisfeitos com o que coletaram, disseminam o ransomware em todos os computadores elegíveis, expondo ou vendendo os dados das empresas que não pagam o resgate no prazo determinado. 

Um estudo da IBM Security mostra que, em média, as empresas demoram 287 dias para identificar e conter uma brecha — praticamente um ano inteiro no total. Portanto, batemos de novo na tecla: o ransomware é o último passo de um ataque que pode ter uma longa cadeia, na qual o invasor se adapta às condições de defesa de cada alvo.

Os prejuízos financeiros para as empresas podem ser exorbitantes. A mesma pesquisa citada acima, feita com base nos dados de 537 ataques contra organizações de 17 países, que sofreram com vazamentos de dados entre maio de 2020 e março de 2021, indicou que o prejuízo total médio em ataques com ransomware foi de US$ 4,62 milhões em nível global. 

Todo esse quadro faz parte de um movimento de Transformação Digital que vinha acontecendo lentamente no setor privado, mas que ganhou um ritmo imprevisto por conta do isolamento imposto pela pandemia. O home office, com todas as suas vantagens do ponto de vista de flexibilidade, abriu brechas para ações de criminosos, que vão desde as mais simples, como o uso de senhas fracas até ataques mais elaborados contra plataformas usadas por múltiplas organizações que permitem comprometer a segurança de várias empresas ao mesmo tempo. Há várias outras técnicas adaptadas de acordo com as defesas — ou falta delas — nas empresas.  

Em resumo, o cenário de ubiquidade da tecnologia está trazendo inúmeras vantagens e comodidades, mas também alguns riscos significativos, como os ataques com ransomware. A boa notícia é que existe tecnologia e, principalmente, expertise para evitar crises. Não há “bala de prata”, mas a adoção de práticas essenciais de gestão da segurança digital, como manter software atualizado, ter um controle de acessos rígido e exigir níveis de segurança elevados dos fornecedores com os quais se tem conexão já pode trazer um nível de proteção o qual demanda camadas adicionais de adaptação por parte do adversário, o estimulando a buscar outro alvo mais fácil.

Para tanto, é preciso que exista uma cultura de cibersegurança na empresa, desde o topo até a base. Tomadores de decisão e gestores precisam entender que investir nessa área é uma parte importante de uma estratégia de negócios. 

*Carlos Cabral é pesquisador de segurança digital da Tempest