Ataque de ransomware afeta milhares de empresas na véspera do fim de semana prolongado

Os hackers atacaram um grande provedor de software de TI, o que permitiu que se espalhasse em muitas pequenas empresas que agora enfrentam pedidos de resgate para desbloquear suas redes de computadores.


De Gerrit De Vynck e Rachel Lerman, do Washington Post, e contribuição de Ellen Nakashima

Um vasto ataque de ransomware que ocorreu horas antes do início do feriado de 4 de julho já afetou centenas de empresas e provavelmente atingirá muitas mais, disseram os pesquisadores.

Na manhã de sábado, a empresa de tecnologia da informação Kaseya confirmou que havia sofrido um “ataque cibernético sofisticado” em seu software VSA — um conjunto de ferramentas usadas por departamentos de TI para gerenciar e monitorar computadores remotamente. A empresa disse que apenas cerca de 40 clientes foram afetados.

Mas, como o software da Kaseya é usado por grandes empresas de TI que oferecem serviços de contrato para centenas de empresas menores, o hack pode ter se espalhado para milhares de vítimas. A Kaseya disse a todos os seus quase 40.000 clientes para desconectar o software Kaseya imediatamente.

A empresa de segurança cibernética Huntress Labs disse que rastreou 20 empresas de TI, conhecidas como provedores de serviços gerenciados, que foram atingidas. Mais de 1.000 clientes dessas empresas, a maioria pequenas empresas, também foram afetados pelo hack, disse Huntress Labs no Reddit.

“Eu não ficaria surpreso se fossem milhares de empresas”, disse Fabian Wosar, diretor de tecnologia da Emsisoft, uma empresa que fornece software e consultoria para ajudar as organizações a se defenderem contra ataques de ransomware. “Ainda não sabemos por causa do longo fim de semana nos EUA”

Uma grande rede de supermercados da Suécia disse no sábado que seu provedor de TI foi atingido por um ataque e que suas caixas registradoras estavam trancadas. Centenas de lojas foram fechadas, disse a empresa Coop Sweden em sua página no Facebook.

Devido ao grande número de empresas potencialmente afetadas, o ataque pode vir a ser um dos maiores da história. Os pesquisadores disseram que o REvil, o grupo de hackers que atacou o processador de carnes JBS nesta primavera, estava por trás do ataque.

O ataque pode aumentar as tensões entre os Estados Unidos e a Rússia, já que ocorre poucas semanas depois que o presidente Biden se reuniu com o presidente russo, Vladimir Putin, em Genebra, alertando-o de que os Estados Unidos responsabilizariam Moscou por ataques cibernéticos originados na Rússia.

Muitos analistas de ameaças de segurança cibernética acham que REvil opera principalmente na Rússia. A onda recente ressalta o desafio que o governo Biden enfrenta para impedir ataques de ransomware conduzidos por criminosos em um porto seguro em países como a Rússia.

Em vez de um ataque cuidadoso e direcionado a uma única grande empresa, esse hack parece ter usado provedores de serviços gerenciados para espalhar seus danos indiscriminadamente por meio de uma enorme rede de empresas menores. Ao contrário da maioria dos ataques de ransomware, não parece que o REvil tentou roubar dados confidenciais antes de bloquear as vítimas em seus sistemas, disse Wosar.

“Nesse ponto, pelo menos parece que foi mais um ataque de spray e reza. Eles não tentaram extorquir dados de todas as vítimas”, disse ele. “Foi mais como um bombardeio em massa”.

“Acreditamos ter identificado a fonte da vulnerabilidade e estamos preparando um patch para mitigá-la”, escreveu Fred Voccola, CEO da Kaseya, em um comunicado na sexta-feira à noite.

Os pesquisadores disseram que os cibercriminosos estavam enviando duas notas de resgate diferentes na sexta-feira — exigindo US$ 50.000 de empresas menores e US$ 5 milhões das maiores.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA instou as empresas em um comunicado a seguir o conselho da Kaseya e disse que está “tomando medidas para entender e resolver o recente ataque de ransomware à cadeia de suprimentos”.

“É, com certeza absoluta, o maior ataque cibernético à cadeia de suprimentos de um estado não-nação que já vimos”, disse Allan Liska, pesquisador da empresa de segurança cibernética Recorded Future. “E é provavelmente o maior ataque de ransomware que vimos, pelo menos o maior desde WannaCry.”

Liska observou que poderia ser o maior número de empresas atingidas em um ataque de ransomware. As empresas afetadas podem incluir uma ampla gama de empresas de pequeno a grande porte, e muitas provavelmente são empresas de pequeno a médio porte que usam serviços de TI gerenciados. A Kaseya também conta com vários governos estaduais e locais como clientes.

O worm de computador WannaCry afetou centenas de milhares de pessoas em 2017. A Agência de Segurança Nacional acabou vinculando o governo norte-coreano à criação do worm.

Ataques de ransomware aumentaram significativamente em frequência e gravidade durante 2020. Um relatório de uma força-tarefa de mais de 60 especialistas disse que quase 2.400 governos, sistemas de saúde e escolas do país foram atingidos por ransomware em 2020. Organizações pagaram aos invasores mais de US$ 412 milhões em resgates no ano passado, de acordo com a empresa de análise Chainalysis.

Depois de um ataque em maio ao Oleoduto Colonial — que levou ao pânico nas linhas de bombas de gasolina vazias de combustível — o governo dos EUA aumentou sua ênfase em questões de segurança cibernética e instou a América corporativa a fortalecer a segurança de seus computadores.

Os ataques de ransomware têm aumentado à medida que os hackers se unem e formam gangues de cibercriminosos para extorquir dinheiro de empresas e obter outras formas de pagamento. Os ataques costumam ser realizados por invasores na Rússia e no Leste Europeu.

Os hackers obtêm acesso ao sistema de computador de uma empresa usando táticas como o envio de e-mails de “phishing”, que são projetados para enganar os funcionários para que instalem malware inadvertidamente em seus computadores.

Uma vez dentro, os cibercriminosos bloquearão partes das redes de uma empresa e exigirão pagamento para devolvê-las ao proprietário. Além disso, os hackers frequentemente roubam informações privadas da empresa e ameaçam vazá-las online se não forem pagos.

Ainda não está claro como os invasores obtiveram acesso ao sistema da Kaseya. A empresa tem sido um alvo popular da REvil, disse Liska, provavelmente porque atende a tantas outras organizações como clientes.

Os agressores incluíram uma nota de resgate direcionando as vítimas a um site para fazer o pagamento, embora Liska tenha dito que o site esteve fora do ar durante toda a tarde e noite de sexta-feira.

Comentário (0) Hits: 1337

Microsoft lança a versão 11 do Windows

A Microsoft anunciou nesta quinta-feira, 24, o Windows 11, o novo sistema operacional cujo foi o novo ambiente de trabalho e aprendizado híbrido. Segundo a empresa, ela reinventa o Windows para oferecer novas experiências que funcionam como você trabalha e aprende.

"A experiência do cliente é mais importante do que nunca – não apenas para a produtividade, mas para o envolvimento do aluno, a satisfação do funcionário, a retenção e a atração de novos talentos. O Windows 11 oferece uma experiência de computação mais simples e pessoal que não compromete o desempenho, a segurança e a capacidade de gerenciamento".

Segundo a empresa, foi modernizada a interface geral do usuário, tornando o menu Iniciar mais moderno e mais fácil de encontrar seus aplicativos e documentos recomendados.

Para quem trabalha com várias janelas abertas ao longo do dia, enquanto se usa documentos, apresentações e planilhas, o Windows 11 melhora a maneira como você interage com essas janelas – como você as organiza, ajusta-as a áreas específicas da tela, agrupa-as e volta para esses grupos de encaixe quando precisa.

Também verá melhorias visuais no Office que tiram proveito do Windows 11, proporcionando uma experiência de PC mais contínua e simples em seus aplicativos com base na linguagem de design e sistema Fluent. O Microsoft Office agora corresponde ao seu tema do Windows para que você possa experimentar a atualização visual em qualquer tema do Office de sua preferência, incluindo o modo escuro, branco, colorido ou cinza escuro.

Também incluiu uma integração mais profunda com aplicativos de colaboração e comunicação como o Microsoft Teams para tornar mais fácil silenciar ou reativar seu microfone ou compartilhar sua área de trabalho ou até mesmo um único aplicativo durante uma reunião diretamente da barra de tarefas da área de trabalho.

Para ensino remota o Windows 11 desenvolveu aprimoramentos de acessibilidade expandidos. Por exemplo, às vezes a criança se sente mais confortável dizendo algo em voz alta em vez de digitar. Com gestos expandidos, voz e interatividade com caneta, ela pode digitar usando sua voz e escrever com uma caneta digital em quase qualquer aplicativo. Isso pode capacitar todos os alunos – independentemente de suas habilidades ou preferências de aprendizagem – para acessar materiais por conta própria, aumentando sua confiança, enquanto os professores podem personalizar a aprendizagem para todos os alunos e fazer o melhor uso do tempo da sala de aula.

O Windows 11 oferece ainda novas ferramentas que reduzem a distração — desde câmeras inteligentes que desfocam o movimento do fundo até configurações que minimizam a confusão visual. Essas inovações permitirão que todos os alunos se concentrem e façam seu melhor trabalho, estejam eles em casa ou na sala de aula.

Projetado para ajudar a proteger os alunos —estejam eles em casa ou na escola — o Windows 11 bloqueia conteúdos perigosos e impróprios.

Fácil para TI implantar e gerenciar

A TI precisa de um sistema operacional para este novo mundo de trabalho híbrido e aprendizado. O Windows 11 é baseado na base consistente, compatível e familiar do Windows 10 bastante conhecida, com a implantação da mesma forma que faz hoje com o Windows 10.

As experiências de gerenciamento familiares que você tem hoje — como Microsoft Endpoint Manager, configuração de nuvem, Windows Update for Business e Autopilot — darão suporte ao seu ambiente à medida que você integra o Windows 11 à sua propriedade. E quando o Windows 11 for disponibilizado no Programa Windows Insider, os clientes do Windows Enterprise e Education também poderão testá-lo na Área de Trabalho Virtual do Azure.
Windows 11 será atualizado anualmente com 24 meses de suporte para as edições Home ou Pro e 36 meses de suporte para as edições Enterprise e Education.

Os aplicativos funcionarão no Windows 11 com App Assure, um serviço que ajuda clientes com 150 ou mais a corrigirem quaisquer problemas de aplicativo que possam encontrar sem nenhum custo adicional. Desde 2018, o App Assure trabalhou com milhares de clientes e avaliou quase 800.000 aplicativos com uma taxa de compatibilidade de aplicativos de 99,7%. Para os 0,3 por cento restantes, a equipe do App Assure se envolverá diretamente com você para colocar seus aplicativos em execução.

A Microsoft lançou também o Test Base for Microsoft 365. O Test Base é uma ferramenta de teste de aplicativo automatizado na visualização que você pode usar para testar esses aplicativos essenciais aos negócios. Se os testes mostrarem que o aplicativo pode ter problemas, mais uma vez, o App Assure estará lá para ajudá-lo.

As organizações podem mover PCs qualificados diretamente para o Windows 11 usando o Windows Update for Business se estiverem executando qualquer versão com suporte do Windows 10, que é o Windows 10 Enterprise, versão 1909 ou superior, ou Windows 10 Pro versão 20H1 ou superior.

Segurança avançada do chip à nuvem

A segurança nunca foi tão importante. No ambiente de segurança cibernética mais complexo que já vimos, você precisa da plataforma de última geração que evolui para lidar com o cenário de ameaças em constante mudança, especialmente à medida que seus usuários se movem entre redes, dispositivos e aplicativos.

O Windows 11 é Zero Trust, pronto e seguro por design, com novas tecnologias de segurança integradas que adicionarão proteção do chip à nuvem, ao mesmo tempo em que permitem produtividade e novas experiências. Os principais recursos de segurança, como isolamento baseado em hardware, criptografia e prevenção de malware, são ativados por padrão. Também tornou mais fácil ficar sem senha, simplificando as etapas para implantar o Windows Hello para Empresas. E todos esses componentes trabalham juntos em segundo plano para manter os usuários seguros sem sacrificar a qualidade, o desempenho ou a experiência. Também trabalha em estreita colaboração com fabricantes e parceiros de chips para para atender às necessidades do cenário de ameaças em evolução e o novo mundo de trabalho e aprendizagem híbridos.

O Windows 10 no mundo

Hoje, mais de 1,3 bilhão de dispositivos ativos por mês usam o Windows 10. Enquanto você muda para o Windows 11, a Microsoft lançará o Windows 10, versão 21H2 no segundo semestre de 2021 com novas atualizações para os recursos atuais que permitem o trabalho híbrido como o Universal Impressão e melhorias nos recursos de gerenciamento e implantação, como o Windows Autopilot.

Comentário (0) Hits: 223

Local de trabalho é onde seu laptop está

Julia Kollewe, The Guardian

O trabalho em casa impulsiona a demanda por “espaço shoffice” em jardins do Reino Unido. Conheça os nômades digitais em trânsito. A mudança mundial para o trabalho flexível e doméstico em caso de pandemia levou ao advento de um novo tipo de mochileiro.

Amantha Scott não sente falta de suas viagens diárias em Londres, especialmente “o pavor de ter que acordar e entrar no metrô e ir para o trabalho suado e agitado. Ainda acordo às 6 ou 7 da manhã, mas posso dar um passeio na praia antes de começar a trabalhar.”



Quando ela e seu parceiro Chris Cerra chegam com suas bagagens em uma nova cidade, eles podem ser facilmente confundidos com turistas. Mas eles fazem parte de uma nova geração de “nômades digitais” que pulam de um país para outro para viver e trabalhar.

A mudança global para o trabalho flexível desencadeada pela pandemia da Covid-19 significa que mais pessoas estão considerando abandonar suas casas de longa duração para voar ao redor do mundo, trabalhando em seus laptops, tablets ou smartphones.

Na semana passada, um relatório da Airbnb intitulado Travel & Living mostrou que 11% das reservas de longa duração da empresa em 2021 relataram ter um estilo de vida nômade e 5% planejam desistir de suas casas principais.

Delia Colantuono, uma tradutora freelance romana de 31 anos, tornou-se nômade digital há cinco anos, quando ainda não era uma “grande coisa”. Ela já viveu em todos os cinco continentes e diz que o estilo de vida nômade “não é apenas para pessoas ricas — é para qualquer pessoa que pode trabalhar remotamente e deseja fazê-lo”.

Muitos lugares desejam atrair visitantes de longo prazo, o que significa que podem ser encontradas pechinchas. Colantuono alugou uma villa em Fuerteventura nas Ilhas Canárias com três outros nômades por € 450 (£ 390) por mês cada.

Cerra, 28, consultor técnico de pesquisa e desenvolvimento de uma butique financeira, morava em vários flatshares apertados em Londres e mais tarde alugou um apartamento com um amigo por £ 1.000 mensais por pessoa. Desde que ele se tornou um nômade, os custos de acomodação variaram de £ 300 na Ásia a mais de £ 1.000 em Estocolmo.

O Wi-Fi de alta velocidade está no topo da lista de desejos dos nômades, seguido por um bom espaço de trabalho — escrivaninhas ou uma grande mesa de jantar — uma cozinha decente e camas confortáveis.

Chanin Kaye, 51, e seu parceiro Jason Melton, 46, estão há seis meses em uma viagem de sete anos do México à Argentina, permanecendo por cerca de um mês em cada cidade. Eles decidiram deixar sua casa em Seattle porque amam viajar e economizar dinheiro para pagar grandes dívidas de estudantes.

“Seattle tem um custo de vida muito alto”, diz Kaye. “Tínhamos uma casa grande com dois outros companheiros de quarto — e ainda estávamos pagando US$ 2.400 (£ 1.690) por mês, incluindo serviços públicos. Aqui no México nunca pagamos mais de US$ 1.200 com tudo incluído e, muitas vezes, menos.”

Eles perceberam durante a pandemia que podiam manter contato remoto com seus filhos adultos e se sentir próximos mesmo quando não estão fisicamente próximos.

Melton deixou seu emprego de vendas e o casal agora dirige remotamente um negócio de contabilidade que Kaye criou. “Trabalhamos o dia todo e partimos em aventuras durante todo o fim de semana”, diz ela.

Kaye avalia que o casal economiza 70% morando na estrada e quer se livrar das dívidas em cinco anos — e eventualmente comprar uma propriedade em algum lugar.

Colantuono e outros estão cientes do impacto ambiental de seu estilo de vida de jetsetter e querem se estabelecer eventualmente. Várias pessoas, escrevendo em um fórum digital nômades do Facebook com 15.500 membros, dizem que a idade não é uma barreira, mas enfatizam a importância de estar em forma e saudável; e alguém diz que uma desvantagem desse estilo de vida pode ser uma sensação de desenraizamento.

Não parece haver muitas famílias nômades digitais com crianças. Tradicionalmente, apenas algumas famílias — que geralmente estudam em casa — viajam pelo mundo. Erin Elizabeth Wells, uma consultora de produtividade de 41 anos de Massachusetts, começou a viajar pelos Estados Unidos com o marido e a filha Eleanor, que agora tem quase quatro anos, em outubro de 2018, e diz que eles são uma “família escolar mundial”.

Viajar com a família significa que viajam devagar, mas isso significa que fazem amigos em todos os lugares que visitam, acrescenta. Eles estão morando em Airbnbs ou outros aluguéis totalmente mobiliados e “planejam continuar indefinidamente até que haja algum motivo para nossa família precisar de outra coisa”.

À medida que partes do mundo reabrem gradualmente após as restrições da Covid, um número crescente de pessoas está desfrutando de uma nova flexibilidade para trabalhar em qualquer lugar. No ano passado, quase um em cada cinco hóspedes do Airbnb usaram o site para viajar e trabalhar remotamente. E neste ano, 74% das pessoas em sua pesquisa de cinco países expressaram interesse em morar em outro lugar que não seja onde seu empregador está baseado. Brian Chesky, executivo-chefe do Airbnb, disse: “As fronteiras entre viagens, vida e trabalho estão se confundindo”.

Cerra diz: “Por muito tempo, esse tipo de estilo de vida foi considerado muito, muito diferente, bem fora do caminho. O que estamos vendo é que tudo está tendendo a ser um pouco mais normal agora, mais aceito.”

Comentário (0) Hits: 2986

Aplicativo Citizen dispara alarme e acusa inocente de incêndio criminoso

Rachel Lerman e Heather Kelly do Washington Post

O aplicativo popular, Citizen, que rastreia crimes em cidades, ofereceu uma recompensa de US$ 30 mil neste fim de semana por informações sobre um homem, suspeito de incêndio florestal criminoso em Los Angeles.

A polícia de Los Angeles deteve e interrogou brevemente o homem, mas o libertou e mais tarde acusou outro suspeito. O Citizen retirou o post e se desculpou pela acusação — mas somente depois de divulgar sua foto para 861.000 telespectadores.

O Citizen quer ser o aplicativo que mantém os moradores da cidade seguros, alertando-os sobre crimes perigosos ou incidentes perto deles. Ele envia alertas de incêndio, acidentes de carro, roubos e covid-19 para seus mais de 7 milhões de usuários em 30 cidades, incluindo Nova York, Los Angeles, Atlanta e Houston. Para cada incidente, ele mostra as atualizações que a empresa obtém do 911 e de outras fontes, bem como vídeos ao vivo e comentários dos usuários nas cenas dos incidentes.

Mas suas últimas tentativas de expandir com transmissões ao vivo, recompensas por informações e segurança privada sob demanda estão levantando preocupações. A empresa lançou OnAir, suas próprias transmissões ao vivo sobre eventos de notícias de última hora com apresentadores pagos, no mês passado. Em um comunicado divulgado no sábado passado sobre o incêndio ocorrido perto do bairro de Pacific Palisades em Los Angeles, um anfitrião identificou e mostrou a foto de um suspeito, que o Citizen não confirmou oficialmente com as autoridades de Los Angeles. A transmissão foi relatada pela primeira vez pela repórter Cerise Castle, de Los Angeles, que a tweetou ao vivo.

A porta-voz do Citizen, Jennifer Burner Barden, reconheceu o erro, dizendo que as transmissões da empresa são "projetadas para serem usadas em circunstâncias limitadas quando um evento coloca um grande número de pessoas em perigo iminente, e é construído em protocolos de validação estritos para limitar a disseminação de informações incorretas e garantir a segurança."

OnAir já foi usado com sucesso 15 vezes antes, disse a empresa. Desta vez, no entanto, os funcionários do Citizen agiram com base em uma denúncia de dois policiais sem confirmá-la oficialmente, disse ela.
“Lamentamos profundamente nosso erro e estamos trabalhando para melhorar nossos processos internos para evitar que isso aconteça novamente”, disse ela em um comunicado.

Fundado em 2016 pela empresa Spon como “Vigilante”, o aplicativo permitia que as pessoas relatassem crimes e incentivava “todos a fazerem sua parte”. Ele foi rapidamente retirado da App Store da Apple por questões de segurança. Mais tarde, foi rebatizado e relançado na App Store como Citizen e se concentrou mais em compartilhar relatórios de crimes e incêndios de fontes oficiais e ligações para o 911 sem envolver os usuários.

A empresa passou os últimos quatro anos tentando se distanciar de seu início polêmico. Em 2020, ela relançou o recurso que permite que os próprios usuários denunciem crimes, iniciando um denúncia de vídeo ao vivo dentro do aplicativo que pode ser visto por qualquer pessoa.

A recente transmissão do incêndio aumentou o a preocupação do público. Durante a transmissão de sábado, um apresentador do Citizen disse:

“Nós sabemos que o cara está lá fora. Precisamos de nossos usuários para chegar lá e trazê-lo à justiça”, de acordo com Castle.

O Citizen não coordenou com o Corpo de Bombeiros de Los Angeles, disse o porta-voz do LAFD, Brian Humphrey. Ele confirmou que a polícia posteriormente prendeu e acusou outra pessoa que supostamente estava ligada ao incêndio em Pacific Palisades.

O Citizen ofereceu a recompensa em dinheiro “a qualquer pessoa que fornecesse informações que levassem à prisão do suspeito de incêndio criminoso”, segundo o jornal The Guardian, que relatou a falsa acusação no início desta semana.

O aplicativo tem outro recurso do mundo real em andamento, que envolve segurança privada sob demanda, e que está sendo testado internamente com funcionários que usam um único carro em Los Angeles, confirmou a empresa. O serviço, relatado anteriormente pelo Vice News , é projetado para permitir que as pessoas solicitem ajuda imediata de seguranças particulares se precisarem, por exemplo, de uma escolta para ir para casa.

O portal The Verge relatou na sexta-feira que o CEO do Citizen, Andrew Frame, encorajou a recompensa do incêndio florestal e ofereceu seu próprio dinheiro para financiá-la. Frame quer continuar a oferecer recompensas e integrá-las ao aplicativo, relatou The Verge.

Comentário (0) Hits: 2770

Ransomware, um grande negócio que ameaça à segurança nacional

Ellen Nakashima e Rachel Lerman - De The Washington Post

O ataque que paralisou o Oleoduto Colonial — e levou uma empresa que opera um grande gasoduto de energia nos EUA a encerrar as operações — é apenas a ponta do iceberg. A Colonial Pipeline Company disse em um comunicado que soube na sexta-feira que foi vítima de um ataque de cibersegurança, e por isso "tirou proativamente certos sistemas off-line para conter a ameaça, que interrompeu temporariamente todas as operações de gasodutos e afetou alguns de nossos sistemas de TI".

Em uma declaração atualizada na tarde de sábado, a Colonial disse que havia "determinado que este incidente envolve ransomware". A nota de resgate do hacker apareceu nas telas dos computadores da empresa na segunda-feira passada. “Seus computadores e servidores são criptografados, os backups são excluídos”, disse. “Usamos algoritmos de criptografia robustos, então você não pode descriptografar seus dados.”

Mas, os criminosos que praticavam a extorsão disseram, "você pode restaurar tudo comprando um programa especial de nós — o descriptografador universal." Este programa, dizia a mensagem, “restaurará toda a sua rede”.

O preço: US $ 1,2 milhão

Eles também roubaram 1 terabyte — o equivalente a 6,5 milhões de páginas de documentos — dos dados confidenciais da empresa. Se a empresa não pagasse para decifrá-lo, os dados seriam “publicados automaticamente” online, disseram os hackers, de acordo com a nota, que foi compartilhada com The Washington Post pela empresa que ajudou a vítima a lidar com o ataque.

Na quarta-feira, a empresa pagou US$ 850.000, de acordo com Austin Berglas, o ex-chefe da filial cibernética do escritório de campo do FBI em Nova York e agora chefe global de serviços profissionais da empresa de segurança cibernética BlueVoyant.

“Nesse caso”, disse ele, “eles não tinham opção”. Se não pagassem, disse ele, "eles sairiam do mercado”.

O dilema dessa empresa é enfrentado por milhares de outras firmas, bem como escolas, governos e outras entidades em todo o mundo, todos os anos. A maioria dos incidentes não é relatada. Curiosamente, de acordo com empresas que ajudam vítimas atingidas por ataques de ransomware, mais da metade paga alguma forma de resgate — estimado no ano passado em cerca de US$ 312.000, de acordo com a Palo Alto Networks, outra empresa de segurança cibernética que lida regularmente com ataques de ransomware. Alguns especialistas suspeitam que a quantidade é baixa.

O ataque que levou a Colonial Pipeline a fechar seu gasoduto de 8.800 quilômetros, causando escassez de combustível em todo o sudeste dos Estados Unidos, ressaltou que a crescente onda de ransomwares não busca apenas dinheiro. E mais: visar as empresas privadas que dirigem grande parte da economia também ameaça a segurança nacional.

O presidente Biden anunciou na quinta-feira que o governo dos EUA tinha “fortes motivos para acreditar” que os criminosos por trás do ataque viviam na Rússia, embora ele disse não acreditar que o governo russo tenha dirigido o ataque. Mesmo assim, ele alertou Moscou sobre a necessidade de “tomar medidas decisivas” contra eles. O Departamento de Justiça, disse o presidente, intensificará os processos contra hackers de ransomware e o governo “buscará uma medida para interromper sua capacidade de operar”.

Pouco depois dos comentários de Biden, DarkSide, o hacker por trás do ataque colonial, disse a seus parceiros criminosos que havia perdido o controle de seus servidores de computador e estava fechando. Alguns especialistas e autoridades americanas alertaram que isso poderia ser apenas um “golpe de saída”, para fingir que estavam deixando o negócio só para reaparecer posteriormente com um nome diferente. Em qualquer caso, é improvável que acabe com o risco de ataques de ransomware.

Uma coisa é certa: a DarkSide teve um trimestre lucrativo. O anel que arrecadou US$ 14 milhões em resgates por todo o ano de 2020 e arrecadou US$ 46 milhões apenas nos primeiros três meses deste ano, de acordo com uma análise da Chainalysis.

A Colonial disse às autoridades americanas que não planejava pagar resgate, segundo três pessoas familiarizadas com o assunto, mas uma pessoa disse depois que a empresa mudou de rumo. O Washington Post já havia relatado que a empresa não tinha planos de pagar um resgate.

Analistas do setor, com base em evidências circunstanciais em um livro-razão online que rastreia os pagamentos de criptomoedas, dizem acreditar que a Colonial fez um pagamento de US$ 5 milhões. A Colonial se recusou a falar sobre o assunto. Tanto o FBI quanto a Mandiant, a empresa de segurança cibernética que auxilia a Colonial também não quis comentar.

O ransomware não é novo: existe há uma década, mas realmente explodiu nos últimos anos, com a chegada de criptomoedas, como o bitcoin — que são difíceis de rastrear e podem ser transferidas eletronicamente sem a ajuda de bancos ou outras instituições regulamentadas pelos governos.

Quase 2.400 centros de saúde, escolas e governos nos Estados Unidos foram atingidos por ransomware no ano passado, de acordo com a Força-Tarefa de Ransomware — um grupo de mais de 60 especialistas da indústria, governo e academia que entregou um relatório de 81 páginas a Joe Biden administração no mês passado sobre como combater o flagelo do ransomware.

A Chainalysis, uma empresa que rastreia os pagamentos de criptomoedas, estimou de forma conservadora que as vítimas pagaram US$ 400 milhões em resgate durante 2020, mais de quatro vezes a estimativa para 2019.

A explosão de ataques também refletiu uma mudança na maneira como os hackers lidavam com o negócio de ransomware. DarkSide era apenas um dos muitos grupos que operavam como uma espécie de provedor de serviços para outros hackers, ou “afiliados”, que usavam seu malware para extorquir alvos em troca de uma parte dos lucros.

Nos últimos anos, esses grupos expandiram seu repertório além de apenas criptografar dados. Agora eles ameaçam divulgar os dados - uma tática conhecida como “dupla extorsão”. E alguns mudaram para a “extorsão tripla”, ameaçando lançar os chamados ataques de negação de serviço às vítimas que não pagam, inundando seus servidores com tráfego até que eles travem, disseram alguns especialistas.

“O ransomware evoluiu de um pequeno problema econômico para uma ameaça à segurança nacional, à saúde e segurança pública”, disse Michael Daniel, presidente e CEO da Cyber Threat Alliance, uma organização sem fins lucrativos que compartilha informações.

“Relembramos que em 2013, o ransomware afetou principalmente computadores individuais e os resgates custaram cem dólares. Agora o ransomware afeta empresas inteiras, sistemas escolares, governos locais”, disse Daniel, que foi o coordenador cibernético da Casa Branca no governo Obama. “O resgate médio é de várias centenas de milhares, e com empresas de alto perfil, chega a milhões de dólares.”

O dilema para as empresas e organizações afetadas pode ser agudo. No outono passado, ransomware lançado por criminosos russos atingiu hospitais dos EUA, forçando alguns a interromper o atendimento ao paciente e cancelar cirurgias não críticas, e levantando a preocupação de que uma interrupção prolongada pudesse resultar em mortes.

Também no ano passado, hackers atacaram um provedor de software em nuvem da Carolina do Sul, o Blackbaud, roubando os dados de milhares de usuários nos Estados Unidos e Canadá. Embora Blackbaud pagasse o resgate, as leis de violação de dados exigiam que a empresa notificasse seus clientes, que incluíam escolas e hospitais, em dezenas de estados. A empresa foi atingida por quase duas dúzias de ações judiciais coletivas.

Na quinta-feira, um grupo criminoso conhecido como Babuk, que supostamente opera fora da Rússia, postou online uma coleção de documentos hackeados do Departamento de Polícia de Washington DC, incluindo textos criptografados sobre ameaças após o ataque de 6 de janeiro ao Capitólio dos Estados Unidos. O despejo de dados aparentemente aconteceu depois de negociações com funcionários do distrito sobre uma taxa para impedir a liberação, de acordo com mensagens de Babuk.

Com tantos riscos, não é surpresa que as vítimas sintam que não têm outra opção a não ser negociar com seus agressores. A grande maioria das vítimas não tem seguro cibernético e tenta lidar com a situação por conta própria, disseram os especialistas.

Uma mini-indústria também surgiu em empresas que ajudam vítimas de ataques de ransomware. Empresas como Coveware, Kivu e Arete são especializadas em negociação com criminosos de ransomware.

Frequentemente, esses especialistas são chamados pela seguradora, disse Michael Phillips, diretor de sinistros da seguradora Resilience, que observou que as apólices que cobrem ransomware tornaram-se comumente disponíveis apenas cerca de cinco ou seis anos atrás.

A maioria das seguradoras exige que a negociação com extorsionários de ransomware seja conduzida por negociadores experientes, disse Phillips, que copresidiu a Força-Tarefa Ransomware. Eles têm estratégias para baixar os preços do resgate. Eles sabem como obter provas, por exemplo, de arquivos roubados e de uma chave de descriptografia em funcionamento, o que pode envolver uma troca limitada de arquivos criptografados, disse ele.

“Por mais perverso que seja, o mercado de ransomware é baseado na confiança”, disse ele. “Essa é uma parte rotineira das negociações de ransomware.”

As negociações normalmente acontecem por e-mail ou uma sala de bate-papo criptografada na “dark web”, uma parte da Internet onde os sites não são acessíveis por meio de mecanismos de busca e normalmente requerem o uso de um navegador anônimo, como o Tor. As salas de chat costumam incluir o logotipo do grupo ou o avatar do hacker, disse Phillips.

No caso da empresa que pagou o resgate na semana passada, a BlueVoyant negociou um valor menor, disse Berglas. “Você obviamente não quer irritá-los e fazer com que digam: 'Estamos levantando mais um milhão de dólares'”, disse ele. “Mas você quer tentar fazer com que eles baixem o preço o máximo possível.”

Algumas empresas optam por negociar por conta própria. “A coisa mais louca que vimos foi uma empresa onde o CEO começou a se comunicar com o agente do ransomware, ficou frustrado e o ameaçou. O agente, que imediatamente desapareceu e se recusou a negociar mais”, lembra Berglas. “E a organização acabou tendo que pagar o pedido inicial sem qualquer negociação.”

Com a extorsão de dados cada vez mais prevalente, alguns grupos criminosos estão montando “call centers” e ligando para CEOs para pedir-lhes que paguem ou vejam seus dados — ou dados de seus clientes — espalhados online, disse John Bennett, diretor administrativo de prática de risco cibernético da Kroll, uma empresa de gerenciamento de risco. “Eles estão obtendo a lista de clientes da empresa, indo ao cliente e dizendo: 'Agora tenho seus dados. Você pode ligar para a empresa XYZ e pedir que paguem'”, disse Bennett, que chefiou os escritórios de campo do FBI em San Francisco e Los Angeles e se aposentou do bureau em novembro.

Algumas empresas conseguem evitar o pagamento, mas isso geralmente envolve uma preparação prévia. Grant Schneider, diretor sênior de serviços de segurança cibernética da Venable, uma firma de advocacia, lembrou um cliente no Mid-Atlantic que conseguiu evitar o pagamento de um pedido de resgate de US$ 250.000 porque a empresa havia armazenado backups de seus dados na nuvem. “O cálculo sobre pagar ou não era mais um de — 'Quanto tempo vai levar para voltarmos a funcionar?' ele disse. “Pensando que conseguiriam voltar mais cedo ou mais tarde, eles optaram por não pagar.”

Eles nunca fecharam e voltaram às operações normais em duas semanas, disse ele. Mas a maioria das empresas não está nessa posição. O relatório da força-tarefa disse que as empresas atingidas por um ataque de ransomware levaram em média 287 dias para se recuperar totalmente.

O aumento do ransomware abalou a indústria de seguros. As operadoras estão descobrindo cada vez mais que os prêmios não cobrem o custo dos ataques de ransomware, disse Joshua Motta, CEO e cofundador da Coalition, uma empresa de seguros cibernéticos. “Todos estavam ganhando dinheiro e indo bem no mercado de seguro cibernético até que o ransomware se tornou o modelo de negócio criminoso dominante”, disse ele.

Os custos dos prêmios aumentaram até 50 por cento desde o início do ano, disse Adam Lantrip, líder da prática cibernética da corretora de seguros CAC Specialty, e os pedidos de ransomware continuam chegando.

A tendência é tão irritante que a maior seguradora geral da França, a AXA France anunciou este mês que não cobrirá mais os pagamentos de ransomware para clientes dentro do país, embora um residente francês possa adquirir uma apólice global que cubra tais pagamentos.

O governo dos Estados Unidos há muito defende a posição de que as vítimas não devem pagar resgates para não encorajar e financiar criminosos. O FBI costuma desaconselhar o pagamento de resgates, uma posição que os líderes políticos também endossaram. “Não queremos que as pessoas pensem que há dinheiro nisso para ameaçar a segurança de uma infraestrutura crítica em nosso país”, disse a presidente da Câmara, Nancy Pelosi, a repórteres em sua entrevista coletiva semanal na quinta-feira.

Mas, observam as autoridades, a decisão final cabe à vítima. "Você vai dizer a um hospital que não pode pagar e os pacientes morrem?" disse Bennett da Kroll.

Para complicar a decisão de pagar, há leis federais que proíbem transações com pessoas ou grupos que tenham sido sancionados pelo Departamento do Tesouro. Em orientação emitida em outubro, o Departamento do Tesouro alertou que as vítimas que fizerem pagamentos de resgate a uma pessoa ou grupo sancionado podem ser multadas. “Os pagamentos de ransomware feitos a pessoas sancionadas ... poderiam ser usados para financiar atividades contrárias aos objetivos de segurança nacional e da política externa dos Estados Unidos”, disse o guia.

Atualmente, apenas um punhado de grupos de ransomware está na lista de sanções, e especialistas dizem que o Tesouro não é conhecido por impor uma penalidade a ninguém por pagar uma entidade sancionada. Descobrir se um hacker que o extorquiu está relacionado a um grupo que foi sancionado não é fácil, dizem os especialistas. Os hackers usam pseudônimos, endereços de proxy da Internet e geralmente vivem nas sombras. Afiliados de operações como DarkSide podem ter links para um grupo sancionado. Isso coloca as empresas em uma posição difícil.

“Os atacantes de ransomware são, por definição, mentirosos, ladrões, extorsionistas e membros de uma empresa criminosa global e tomam medidas tecnológicas extremas para ocultar qualquer traço de sua identidade e localização”, disse John Reed Stark, consultor de segurança cibernética e ex-chefe da Securities and Exchange Commission of Internet Enforcement.

“Determinar a boa-fé de um atacante de ransomware é como tentar confirmar a altura e o peso de um fantasma. No entanto, é exatamente isso que o governo espera que a empresa faça.”

A orientação também não deixa claro se os negociadores de resgate ou as seguradoras que fazem os pagamentos também podem ser responsabilizados. Berglas disse no ano passado que um cliente queria pagar um resgate para desbloquear seus dados, mas o invasor, a Evil Corp, com sede na Rússia, estava na lista de sanções, então a BlueVoyant recusou. O cliente foi para outra empresa, que pagou, disse ele.

A orientação do Tesouro indica que relatar um ataque às autoridades policiais será considerado um “fator atenuante significativo” para determinar se alguém deve ser multado por violar a regra.

A natureza internacional do crime de ransomware também é um impedimento para colocá-lo sob controle. O Departamento de Justiça e o FBI estão trabalhando com aliados e parceiros no exterior para investigar quadrilhas de criminosos, interromper suas operações e infraestrutura online e processar hackers, disseram as autoridades.

Em janeiro, o departamento juntou-se ao Canadá, França, Alemanha, Holanda e Grã-Bretanha para desmantelar o botnet conhecido como Emotet, que infectou centenas de milhares de computadores nos Estados Unidos e causou milhões de dólares em danos em todo o mundo. O botnet, um exército de computadores sequestrados, também pode ser usado para espalhar ransomware.

Mas muitos dos atores estão em países fora do alcance das autoridades americanas e aliadas. Acredita-se que o DarkSide, por exemplo, esteja baseado na Rússia e muitas de suas comunicações são em russo.

“Eles se tornaram o equivalente do século 21 aos países que abrigavam piratas”, disse Daniel, o coordenador cibernético da Casa Branca de Obama. “Temos que impor consequências diplomáticas e econômicas para que eles não vejam como de seu interesse abrigar esses criminosos.”

As empresas e organizações precisam ser incentivadas a fortalecer suas defesas, dizem os especialistas. Muitos estão deixando de implantar até mesmo as melhores práticas básicas, como exigir autenticação multifator para funcionários que efetuam logon em sistemas, corrigir vulnerabilidades imediatamente, segmentar redes, manter backups off-line e testá-los periodicamente para garantir que funcionem.

Uma maneira que as empresas e as forças de segurança podem se unir para impedir extorsões é identificar rapidamente os servidores intermediários usados pelos hackers para "preparar" ou armazenar dados depois que eles são desviados de uma empresa, mas antes de serem enviados para o servidor dos hackers. Isso aconteceu no caso da Colonial Pipeline, quando um provedor de nuvem em Nova York fechou um servidor que continha dados roubados da empresa.

O provedor foi notificado pela Mandiant, a empresa que ajudou a Colonial a investigar o ataque. A mudança evitou que os hackers coletassem os dados, que poderiam ter sido usados como parte do esforço de extorsão.

Regulamentar a criptomoeda é outra etapa que os especialistas recomendam, especialmente ao impor os requisitos de que as casas de câmbio que facilitam as transações de criptomoeda cumpram as leis de combate à lavagem de dinheiro. Mesmo se uma bolsa for no exterior, se houver negócios "substantivos" com um americano, o Tesouro pode regulamentá-la, dizem os especialistas.

“Essas operadoras são obrigadas a conhecer seus clientes e, se o Tesouro cumprisse a lei, daria ao Departamento de Justiça as ferramentas de que precisam para identificar e processar esses criminosos”, disse Phillips.

“Um atacante de ransomware não vai usar o PayPal”, disse Allan Liska, analista sênior de inteligência da empresa cibernética Recorded Future e membro da força-tarefa.

A força-tarefa também pediu ao Congresso que ordenasse que as vítimas do ransomware relatassem os ataques ao governo federal e, se um pagamento for feito, revelasse todos os detalhes financeiros, incluindo o endereço da carteira eletrônica para a qual o pagamento foi feito. “A lacuna de dados do ransomware é real e é um obstáculo extraordinário para o combate nacional e internacional a esses criminosos cibernéticos”, disse Phillips.

Berglas disse que é improvável que o problema possa ser resolvido simplesmente esperando que as empresas não façam os pagamentos. O cliente da BlueVoyant, observou ele, ficou fora do ar durante toda a semana, suas redes corporativas congeladas por ransomware. No final de semana, com o pagamento efetuado, a empresa foi aos poucos restaurando os serviços.

“No grande esquema das coisas”, disse Berglas, “ficar parado por alguns dias é melhor do que fechar as portas e sair do mercado”.

Comentário (0) Hits: 4119

Ataque cibernético fecha o grande sistema de gasodutos dos EUA

A ação dos criminosos cibernéticos contra o Colonial Pipeline revela a vulnerabilidade da infraestrutura crítica dos EUA

Lauren Fedor, em Washingon; Myles McCormick, em Nova York e Hannah Murphy em São Francisco — do Financial Times

Um grande oleoduto de combustível dos Estados Unidos foi fechado após um ataque de ransomware, em um incidente que ressalta as vulnerabilidades da infraestrutura crítica da América.

O Oleoduto Colonial — o maior canal do país para produtos refinados, transportando quase metade do combustível consumido na Costa Leste — permaneceu fechado no sábado depois que sua operadora disse que ele havia sido “vítima de um ataque de segurança cibernética”.

Ele disse que o ataque na sexta-feira envolveu o uso de ransomware — através do qual os hackers assumem o controle dos sistemas de computador ou dados da vítima instalando software ilícito, e apenas liberam os ativos após o pagamento.

“Em resposta, colocamos alguns sistemas offline de forma proativa para conter a ameaça, o que interrompeu temporariamente todas as operações do oleoduto e afetou alguns de nossos sistemas de TI”, disse a Colonial Pipeline Company.

Um porta-voz da Casa Branca disse que o presidente dos EUA, Joe Biden, havia sido informado sobre o assunto e que o governo federal estava “trabalhando ativamente para avaliar as implicações deste incidente, evitar interrupção no fornecimento e ajudar a empresa a restaurar as operações do oleoduto o mais rápido possível”.

O ataque à linha, que se estende por mais de 5.500 milhas de Pasadena, Texas a Linden, New Jersey a New York Harbor, surge em meio a preocupações crescentes sobre vulnerabilidades de segurança cibernética na infraestrutura crítica da América após o ataque SolarWinds no ano passado. Nesse incidente, os hackers russos obtiveram acesso aos departamentos de comércio e Tesouro dos EUA, entre outras agências governamentais.

O número de ataques de ransomware explodiu nos últimos anos, à medida que os criminosos usavam criptomoedas, como bitcoin, para receber pagamentos de extorsão sem serem rastreados, e cada vez mais alugavam sua experiência para terceiros.

Embora esses ataques tendam a visar os sistemas de TI corporativos, os especialistas alertam que as instâncias que visam a tecnologia operacional (OT) — os sistemas computadorizados usados para controlar as operações — estão se tornando mais prevalentes, quase incontroláveis.

“A infraestrutura de energia dos EUA está cada vez mais sujeita a ataques cibernéticos danosos de hackers russos, chineses e outros, portanto, atualizar a segurança dos sistemas de energia americanos deve ser fundamental para os objetivos de segurança de infraestrutura de Biden e para as mensagens políticas”, disse Paul Bledsoe, especialista em energia da Progressive Policy Institute em Washington.

Não está claro se os atacantes são grupos criminosos — que tendem a implantar ransomware para ganho comercial — ou hackers apoiados pelo Estado.

A Colonial não disse quanto tempo duraria a suspensão das operações, nem deu mais detalhes sobre a natureza do ataque. Um porta-voz na tarde de sábado não quis comentar mais.

A empresa disse que contratou uma empresa de segurança cibernética terceirizada para investigar o incidente e entrou em contato com as agências de segurança pública e federais.

O sistema de gasodutos transporta mais de 2,5 milhões de barris de combustível por dia — mais do que todo o consumo diário do Reino Unido — e alimenta os mercados de Atlanta, Washington e Nova York com gasolina, diesel, combustível para aviões e óleo para aquecimento doméstico refinado na costa do Golfo.

Grande parte da rede foi fechada em 2017 após a tempestade tropical Harvey. Parte do oleoduto também foi interrompido em 2016, depois que um vazamento foi descoberto.

Os futuros de gasolina e diesel tiveram uma ligeira alta na sexta-feira. Analistas disseram que havia potencial para maior volatilidade quando as negociações fossem reiniciadas na noite de domingo, se o pipeline não fosse colocado online rapidamente.

“Por enquanto, com um desligamento por tempo limitado, isso não deve ser um grande problema e não deve impactar os preços”, disse Patrick de Haan, chefe de análise de petróleo da GasBuddy, um provedor de dados.

“No entanto, se por algum motivo o pipeline não puder ser iniciado nos próximos dois dias, poderemos ver os preços subirem. Um pouco cedo para contar, mas agora estou pensando que não se trata de um evento de preço ou interrupção do fornecimento.”

Analistas disseram que os suprimentos de combustível no nordeste dos Estados Unidos, correm menos risco no caso de uma paralisação prolongada, pois podem ser complementados por importações. Mas os estados costeiros da Geórgia até a Península de Delaware-Maryland-Virgínia correm maior risco de perturbação.

“Uma preocupação clara tem a ver com o fluxo de notícias”, disse Tom Kloza, chefe global de análise de energia da Opis, uma divisão da IHS Markit. “Um ataque cibernético ao oleoduto mais vital do país será manchete até segunda-feira. Isso pode promover um aumento nas compras dos consumidores de gasolina nas áreas atendidas pela linha”.

Biden propôs um pacote de US$ 2 trilhões para reiniciar a infraestrutura em dificuldades da América, mas o plano não faz menção à infraestrutura de oleoduto — um ponto crítico para protestos de ativistas ambientais.
Ben Sasse, um senador republicano de Nebraska, que faz parte do comitê de inteligência do Senado, disse que o ataque colonial deixou claro que o governo federal deveria priorizar “setores críticos” como o transporte de combustíveis fósseis “em vez de listas de desejos progressistas mascaradas de infraestrutura”. “Esta é uma jogada que será disputada novamente e não estamos devidamente preparados”, disse ele.

 

Comentário (0) Hits: 5093

newsletter buton