Ransomware, um grande negócio que ameaça à segurança nacional

Ellen Nakashima e Rachel Lerman - De The Washington Post

O ataque que paralisou o Oleoduto Colonial — e levou uma empresa que opera um grande gasoduto de energia nos EUA a encerrar as operações — é apenas a ponta do iceberg. A Colonial Pipeline Company disse em um comunicado que soube na sexta-feira que foi vítima de um ataque de cibersegurança, e por isso "tirou proativamente certos sistemas off-line para conter a ameaça, que interrompeu temporariamente todas as operações de gasodutos e afetou alguns de nossos sistemas de TI".

Em uma declaração atualizada na tarde de sábado, a Colonial disse que havia "determinado que este incidente envolve ransomware". A nota de resgate do hacker apareceu nas telas dos computadores da empresa na segunda-feira passada. “Seus computadores e servidores são criptografados, os backups são excluídos”, disse. “Usamos algoritmos de criptografia robustos, então você não pode descriptografar seus dados.”

Mas, os criminosos que praticavam a extorsão disseram, "você pode restaurar tudo comprando um programa especial de nós — o descriptografador universal." Este programa, dizia a mensagem, “restaurará toda a sua rede”.

O preço: US $ 1,2 milhão

Eles também roubaram 1 terabyte — o equivalente a 6,5 milhões de páginas de documentos — dos dados confidenciais da empresa. Se a empresa não pagasse para decifrá-lo, os dados seriam “publicados automaticamente” online, disseram os hackers, de acordo com a nota, que foi compartilhada com The Washington Post pela empresa que ajudou a vítima a lidar com o ataque.

Na quarta-feira, a empresa pagou US$ 850.000, de acordo com Austin Berglas, o ex-chefe da filial cibernética do escritório de campo do FBI em Nova York e agora chefe global de serviços profissionais da empresa de segurança cibernética BlueVoyant.

“Nesse caso”, disse ele, “eles não tinham opção”. Se não pagassem, disse ele, "eles sairiam do mercado”.

O dilema dessa empresa é enfrentado por milhares de outras firmas, bem como escolas, governos e outras entidades em todo o mundo, todos os anos. A maioria dos incidentes não é relatada. Curiosamente, de acordo com empresas que ajudam vítimas atingidas por ataques de ransomware, mais da metade paga alguma forma de resgate — estimado no ano passado em cerca de US$ 312.000, de acordo com a Palo Alto Networks, outra empresa de segurança cibernética que lida regularmente com ataques de ransomware. Alguns especialistas suspeitam que a quantidade é baixa.

O ataque que levou a Colonial Pipeline a fechar seu gasoduto de 8.800 quilômetros, causando escassez de combustível em todo o sudeste dos Estados Unidos, ressaltou que a crescente onda de ransomwares não busca apenas dinheiro. E mais: visar as empresas privadas que dirigem grande parte da economia também ameaça a segurança nacional.

O presidente Biden anunciou na quinta-feira que o governo dos EUA tinha “fortes motivos para acreditar” que os criminosos por trás do ataque viviam na Rússia, embora ele disse não acreditar que o governo russo tenha dirigido o ataque. Mesmo assim, ele alertou Moscou sobre a necessidade de “tomar medidas decisivas” contra eles. O Departamento de Justiça, disse o presidente, intensificará os processos contra hackers de ransomware e o governo “buscará uma medida para interromper sua capacidade de operar”.

Pouco depois dos comentários de Biden, DarkSide, o hacker por trás do ataque colonial, disse a seus parceiros criminosos que havia perdido o controle de seus servidores de computador e estava fechando. Alguns especialistas e autoridades americanas alertaram que isso poderia ser apenas um “golpe de saída”, para fingir que estavam deixando o negócio só para reaparecer posteriormente com um nome diferente. Em qualquer caso, é improvável que acabe com o risco de ataques de ransomware.

Uma coisa é certa: a DarkSide teve um trimestre lucrativo. O anel que arrecadou US$ 14 milhões em resgates por todo o ano de 2020 e arrecadou US$ 46 milhões apenas nos primeiros três meses deste ano, de acordo com uma análise da Chainalysis.

A Colonial disse às autoridades americanas que não planejava pagar resgate, segundo três pessoas familiarizadas com o assunto, mas uma pessoa disse depois que a empresa mudou de rumo. O Washington Post já havia relatado que a empresa não tinha planos de pagar um resgate.

Analistas do setor, com base em evidências circunstanciais em um livro-razão online que rastreia os pagamentos de criptomoedas, dizem acreditar que a Colonial fez um pagamento de US$ 5 milhões. A Colonial se recusou a falar sobre o assunto. Tanto o FBI quanto a Mandiant, a empresa de segurança cibernética que auxilia a Colonial também não quis comentar.

O ransomware não é novo: existe há uma década, mas realmente explodiu nos últimos anos, com a chegada de criptomoedas, como o bitcoin — que são difíceis de rastrear e podem ser transferidas eletronicamente sem a ajuda de bancos ou outras instituições regulamentadas pelos governos.

Quase 2.400 centros de saúde, escolas e governos nos Estados Unidos foram atingidos por ransomware no ano passado, de acordo com a Força-Tarefa de Ransomware — um grupo de mais de 60 especialistas da indústria, governo e academia que entregou um relatório de 81 páginas a Joe Biden administração no mês passado sobre como combater o flagelo do ransomware.

A Chainalysis, uma empresa que rastreia os pagamentos de criptomoedas, estimou de forma conservadora que as vítimas pagaram US$ 400 milhões em resgate durante 2020, mais de quatro vezes a estimativa para 2019.

A explosão de ataques também refletiu uma mudança na maneira como os hackers lidavam com o negócio de ransomware. DarkSide era apenas um dos muitos grupos que operavam como uma espécie de provedor de serviços para outros hackers, ou “afiliados”, que usavam seu malware para extorquir alvos em troca de uma parte dos lucros.

Nos últimos anos, esses grupos expandiram seu repertório além de apenas criptografar dados. Agora eles ameaçam divulgar os dados - uma tática conhecida como “dupla extorsão”. E alguns mudaram para a “extorsão tripla”, ameaçando lançar os chamados ataques de negação de serviço às vítimas que não pagam, inundando seus servidores com tráfego até que eles travem, disseram alguns especialistas.

“O ransomware evoluiu de um pequeno problema econômico para uma ameaça à segurança nacional, à saúde e segurança pública”, disse Michael Daniel, presidente e CEO da Cyber Threat Alliance, uma organização sem fins lucrativos que compartilha informações.

“Relembramos que em 2013, o ransomware afetou principalmente computadores individuais e os resgates custaram cem dólares. Agora o ransomware afeta empresas inteiras, sistemas escolares, governos locais”, disse Daniel, que foi o coordenador cibernético da Casa Branca no governo Obama. “O resgate médio é de várias centenas de milhares, e com empresas de alto perfil, chega a milhões de dólares.”

O dilema para as empresas e organizações afetadas pode ser agudo. No outono passado, ransomware lançado por criminosos russos atingiu hospitais dos EUA, forçando alguns a interromper o atendimento ao paciente e cancelar cirurgias não críticas, e levantando a preocupação de que uma interrupção prolongada pudesse resultar em mortes.

Também no ano passado, hackers atacaram um provedor de software em nuvem da Carolina do Sul, o Blackbaud, roubando os dados de milhares de usuários nos Estados Unidos e Canadá. Embora Blackbaud pagasse o resgate, as leis de violação de dados exigiam que a empresa notificasse seus clientes, que incluíam escolas e hospitais, em dezenas de estados. A empresa foi atingida por quase duas dúzias de ações judiciais coletivas.

Na quinta-feira, um grupo criminoso conhecido como Babuk, que supostamente opera fora da Rússia, postou online uma coleção de documentos hackeados do Departamento de Polícia de Washington DC, incluindo textos criptografados sobre ameaças após o ataque de 6 de janeiro ao Capitólio dos Estados Unidos. O despejo de dados aparentemente aconteceu depois de negociações com funcionários do distrito sobre uma taxa para impedir a liberação, de acordo com mensagens de Babuk.

Com tantos riscos, não é surpresa que as vítimas sintam que não têm outra opção a não ser negociar com seus agressores. A grande maioria das vítimas não tem seguro cibernético e tenta lidar com a situação por conta própria, disseram os especialistas.

Uma mini-indústria também surgiu em empresas que ajudam vítimas de ataques de ransomware. Empresas como Coveware, Kivu e Arete são especializadas em negociação com criminosos de ransomware.

Frequentemente, esses especialistas são chamados pela seguradora, disse Michael Phillips, diretor de sinistros da seguradora Resilience, que observou que as apólices que cobrem ransomware tornaram-se comumente disponíveis apenas cerca de cinco ou seis anos atrás.

A maioria das seguradoras exige que a negociação com extorsionários de ransomware seja conduzida por negociadores experientes, disse Phillips, que copresidiu a Força-Tarefa Ransomware. Eles têm estratégias para baixar os preços do resgate. Eles sabem como obter provas, por exemplo, de arquivos roubados e de uma chave de descriptografia em funcionamento, o que pode envolver uma troca limitada de arquivos criptografados, disse ele.

“Por mais perverso que seja, o mercado de ransomware é baseado na confiança”, disse ele. “Essa é uma parte rotineira das negociações de ransomware.”

As negociações normalmente acontecem por e-mail ou uma sala de bate-papo criptografada na “dark web”, uma parte da Internet onde os sites não são acessíveis por meio de mecanismos de busca e normalmente requerem o uso de um navegador anônimo, como o Tor. As salas de chat costumam incluir o logotipo do grupo ou o avatar do hacker, disse Phillips.

No caso da empresa que pagou o resgate na semana passada, a BlueVoyant negociou um valor menor, disse Berglas. “Você obviamente não quer irritá-los e fazer com que digam: 'Estamos levantando mais um milhão de dólares'”, disse ele. “Mas você quer tentar fazer com que eles baixem o preço o máximo possível.”

Algumas empresas optam por negociar por conta própria. “A coisa mais louca que vimos foi uma empresa onde o CEO começou a se comunicar com o agente do ransomware, ficou frustrado e o ameaçou. O agente, que imediatamente desapareceu e se recusou a negociar mais”, lembra Berglas. “E a organização acabou tendo que pagar o pedido inicial sem qualquer negociação.”

Com a extorsão de dados cada vez mais prevalente, alguns grupos criminosos estão montando “call centers” e ligando para CEOs para pedir-lhes que paguem ou vejam seus dados — ou dados de seus clientes — espalhados online, disse John Bennett, diretor administrativo de prática de risco cibernético da Kroll, uma empresa de gerenciamento de risco. “Eles estão obtendo a lista de clientes da empresa, indo ao cliente e dizendo: 'Agora tenho seus dados. Você pode ligar para a empresa XYZ e pedir que paguem'”, disse Bennett, que chefiou os escritórios de campo do FBI em San Francisco e Los Angeles e se aposentou do bureau em novembro.

Algumas empresas conseguem evitar o pagamento, mas isso geralmente envolve uma preparação prévia. Grant Schneider, diretor sênior de serviços de segurança cibernética da Venable, uma firma de advocacia, lembrou um cliente no Mid-Atlantic que conseguiu evitar o pagamento de um pedido de resgate de US$ 250.000 porque a empresa havia armazenado backups de seus dados na nuvem. “O cálculo sobre pagar ou não era mais um de — 'Quanto tempo vai levar para voltarmos a funcionar?' ele disse. “Pensando que conseguiriam voltar mais cedo ou mais tarde, eles optaram por não pagar.”

Eles nunca fecharam e voltaram às operações normais em duas semanas, disse ele. Mas a maioria das empresas não está nessa posição. O relatório da força-tarefa disse que as empresas atingidas por um ataque de ransomware levaram em média 287 dias para se recuperar totalmente.

O aumento do ransomware abalou a indústria de seguros. As operadoras estão descobrindo cada vez mais que os prêmios não cobrem o custo dos ataques de ransomware, disse Joshua Motta, CEO e cofundador da Coalition, uma empresa de seguros cibernéticos. “Todos estavam ganhando dinheiro e indo bem no mercado de seguro cibernético até que o ransomware se tornou o modelo de negócio criminoso dominante”, disse ele.

Os custos dos prêmios aumentaram até 50 por cento desde o início do ano, disse Adam Lantrip, líder da prática cibernética da corretora de seguros CAC Specialty, e os pedidos de ransomware continuam chegando.

A tendência é tão irritante que a maior seguradora geral da França, a AXA France anunciou este mês que não cobrirá mais os pagamentos de ransomware para clientes dentro do país, embora um residente francês possa adquirir uma apólice global que cubra tais pagamentos.

O governo dos Estados Unidos há muito defende a posição de que as vítimas não devem pagar resgates para não encorajar e financiar criminosos. O FBI costuma desaconselhar o pagamento de resgates, uma posição que os líderes políticos também endossaram. “Não queremos que as pessoas pensem que há dinheiro nisso para ameaçar a segurança de uma infraestrutura crítica em nosso país”, disse a presidente da Câmara, Nancy Pelosi, a repórteres em sua entrevista coletiva semanal na quinta-feira.

Mas, observam as autoridades, a decisão final cabe à vítima. "Você vai dizer a um hospital que não pode pagar e os pacientes morrem?" disse Bennett da Kroll.

Para complicar a decisão de pagar, há leis federais que proíbem transações com pessoas ou grupos que tenham sido sancionados pelo Departamento do Tesouro. Em orientação emitida em outubro, o Departamento do Tesouro alertou que as vítimas que fizerem pagamentos de resgate a uma pessoa ou grupo sancionado podem ser multadas. “Os pagamentos de ransomware feitos a pessoas sancionadas ... poderiam ser usados para financiar atividades contrárias aos objetivos de segurança nacional e da política externa dos Estados Unidos”, disse o guia.

Atualmente, apenas um punhado de grupos de ransomware está na lista de sanções, e especialistas dizem que o Tesouro não é conhecido por impor uma penalidade a ninguém por pagar uma entidade sancionada. Descobrir se um hacker que o extorquiu está relacionado a um grupo que foi sancionado não é fácil, dizem os especialistas. Os hackers usam pseudônimos, endereços de proxy da Internet e geralmente vivem nas sombras. Afiliados de operações como DarkSide podem ter links para um grupo sancionado. Isso coloca as empresas em uma posição difícil.

“Os atacantes de ransomware são, por definição, mentirosos, ladrões, extorsionistas e membros de uma empresa criminosa global e tomam medidas tecnológicas extremas para ocultar qualquer traço de sua identidade e localização”, disse John Reed Stark, consultor de segurança cibernética e ex-chefe da Securities and Exchange Commission of Internet Enforcement.

“Determinar a boa-fé de um atacante de ransomware é como tentar confirmar a altura e o peso de um fantasma. No entanto, é exatamente isso que o governo espera que a empresa faça.”

A orientação também não deixa claro se os negociadores de resgate ou as seguradoras que fazem os pagamentos também podem ser responsabilizados. Berglas disse no ano passado que um cliente queria pagar um resgate para desbloquear seus dados, mas o invasor, a Evil Corp, com sede na Rússia, estava na lista de sanções, então a BlueVoyant recusou. O cliente foi para outra empresa, que pagou, disse ele.

A orientação do Tesouro indica que relatar um ataque às autoridades policiais será considerado um “fator atenuante significativo” para determinar se alguém deve ser multado por violar a regra.

A natureza internacional do crime de ransomware também é um impedimento para colocá-lo sob controle. O Departamento de Justiça e o FBI estão trabalhando com aliados e parceiros no exterior para investigar quadrilhas de criminosos, interromper suas operações e infraestrutura online e processar hackers, disseram as autoridades.

Em janeiro, o departamento juntou-se ao Canadá, França, Alemanha, Holanda e Grã-Bretanha para desmantelar o botnet conhecido como Emotet, que infectou centenas de milhares de computadores nos Estados Unidos e causou milhões de dólares em danos em todo o mundo. O botnet, um exército de computadores sequestrados, também pode ser usado para espalhar ransomware.

Mas muitos dos atores estão em países fora do alcance das autoridades americanas e aliadas. Acredita-se que o DarkSide, por exemplo, esteja baseado na Rússia e muitas de suas comunicações são em russo.

“Eles se tornaram o equivalente do século 21 aos países que abrigavam piratas”, disse Daniel, o coordenador cibernético da Casa Branca de Obama. “Temos que impor consequências diplomáticas e econômicas para que eles não vejam como de seu interesse abrigar esses criminosos.”

As empresas e organizações precisam ser incentivadas a fortalecer suas defesas, dizem os especialistas. Muitos estão deixando de implantar até mesmo as melhores práticas básicas, como exigir autenticação multifator para funcionários que efetuam logon em sistemas, corrigir vulnerabilidades imediatamente, segmentar redes, manter backups off-line e testá-los periodicamente para garantir que funcionem.

Uma maneira que as empresas e as forças de segurança podem se unir para impedir extorsões é identificar rapidamente os servidores intermediários usados pelos hackers para "preparar" ou armazenar dados depois que eles são desviados de uma empresa, mas antes de serem enviados para o servidor dos hackers. Isso aconteceu no caso da Colonial Pipeline, quando um provedor de nuvem em Nova York fechou um servidor que continha dados roubados da empresa.

O provedor foi notificado pela Mandiant, a empresa que ajudou a Colonial a investigar o ataque. A mudança evitou que os hackers coletassem os dados, que poderiam ter sido usados como parte do esforço de extorsão.

Regulamentar a criptomoeda é outra etapa que os especialistas recomendam, especialmente ao impor os requisitos de que as casas de câmbio que facilitam as transações de criptomoeda cumpram as leis de combate à lavagem de dinheiro. Mesmo se uma bolsa for no exterior, se houver negócios "substantivos" com um americano, o Tesouro pode regulamentá-la, dizem os especialistas.

“Essas operadoras são obrigadas a conhecer seus clientes e, se o Tesouro cumprisse a lei, daria ao Departamento de Justiça as ferramentas de que precisam para identificar e processar esses criminosos”, disse Phillips.

“Um atacante de ransomware não vai usar o PayPal”, disse Allan Liska, analista sênior de inteligência da empresa cibernética Recorded Future e membro da força-tarefa.

A força-tarefa também pediu ao Congresso que ordenasse que as vítimas do ransomware relatassem os ataques ao governo federal e, se um pagamento for feito, revelasse todos os detalhes financeiros, incluindo o endereço da carteira eletrônica para a qual o pagamento foi feito. “A lacuna de dados do ransomware é real e é um obstáculo extraordinário para o combate nacional e internacional a esses criminosos cibernéticos”, disse Phillips.

Berglas disse que é improvável que o problema possa ser resolvido simplesmente esperando que as empresas não façam os pagamentos. O cliente da BlueVoyant, observou ele, ficou fora do ar durante toda a semana, suas redes corporativas congeladas por ransomware. No final de semana, com o pagamento efetuado, a empresa foi aos poucos restaurando os serviços.

“No grande esquema das coisas”, disse Berglas, “ficar parado por alguns dias é melhor do que fechar as portas e sair do mercado”.

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton