Você pode estar no meio de um ataque hacker e nem imagina. Seus dados estão íntegros, não há qualquer alteração em suas aplicações e, seu site, continua funcionando normalmente, mas, enquanto você acha que está tudo "indo bem", seu servidor está sendo usado para minerar criptomoedas.

Quem explica este fato é Thiago Carvalho Farah Montenegro, Diretor de Business Unit da Lanlink, que em entrevista ao Cointelegraph Brasil, oferece uma visão perspicaz sobre os recentes rumos dos ataques hackers, especialmente aqueles voltados para contas de armazenamento.

• O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.

Thiago explora a crescente migração nos métodos dos cibercriminosos, delineando as nuances dessa transformação no cenário digital, com um olhar particular para o papel das criptomoedas nesse panorama desafiador. Confira a entrevista completa.

Cointelegraph Brasil (CTBR): Qual o principal objetivo do ataque a contas de armazenamento hoje?

Thiago Montenegro (TM): Há vários tipos de ataques e com objetivos diferentes. Há os interessados em roubar ou sequestrar dados, em protestar em um site de alguma empresa ou governo, enfim, quando associamos ao assunto de criptomoedas, o que tem ocorrido com maior frequência orbita a nuvem pública: o objetivo é usar a flexibilidade e elasticidade da nuvem para provisionar um ambiente com rapidez e minerar criptomoedas sem ser detectado.

CTBR: Hoje, ocorre uma migração nos tipos de ataques hackers. Qual a principal diferença do que era feito antes, levando em conta a expansão das criptomoedas?

TM: Acredito que as criptomoedas democratizaram os ataques. Explico: o foco antes eram as grandes organizações, sejam empresas, sejam governos, sejam até mesmo celebridades e suas produtoras.

Era quem tinha muito dinheiro para pagar uma extorsão, ou quem havia sido parte de um escândalo ecológico, por exemplo, e sofria uma “pichação digital” em seu site como forma de protesto. Hoje qualquer CPF e qualquer CNPJ podem ser alvo de um ataque digital. Um sequestro de dados utilizando tecnologia ransomware ocorre automatizado, replicado a perder de vista.

Quem foi infectado tem seus dados sequestrados e, mediante pagamento de resgate em criptomoeda, tem a chance de reavê-los. Um número incontável de resgates é pago diariamente sem passar pelos olhos das autoridades no mundo inteiro.

Um outro tipo de ataque ocorre na nuvem pública: qualquer pessoa ou empresa que tem conta desprotegida na nuvem pode sofrer um ataque em que o hacker provisiona automaticamente dezenas de máquinas de alto desempenho e as põe para minerar criptomoedas sem ser detectado.

Ataque hacker

CTBR: Como é feito esse ataque?

TM: Assim como na infraestrutura dentro dos nossos datacenters (ou “on premise”, como se diz no mercado de TI), a infraestrutura em nuvem também precisa ser protegida. Diversas soluções de segurança, tecnologias de monitoração e resiliência estão disponíveis e precisam ser configuradas, utilizadas e geridas.

Sem isso, o ambiente fica exposto. Sabe aqueles e-mails duvidosos em que um usuário desavisado clica num link que parece um banco mas não é? Neste click o usuário entrega dados, baixa malwares e os instala. Esta, o phishing, é só uma forma de um hacker conseguir entrar num ambiente desprotegido.

A partir daí ele pode passar dias, senão meses buscando conseguir um acesso administrativo. Ao conseguir, ele pode praticamente fazer o que quiser.

Como identificar

CTBR: Como uma empresa pode identificar que ela está sofrendo esse ataque? Só quando “a conta chega”?

TM: Estes últimos ataques que comentei, quando um hacker monta um ambiente com máquinas para minerar criptomoeda na nuvem de alguém sem pagar nada por isso tem uma particularidade: o hacker não apaga nenhum dado seu, não criptografa nada, não sequestra nada. Não brinca com seu site, não cobra resgate.

O objetivo dele é passar despercebido o maior tempo possível porque enquanto não for detectado, ele está minerando criptomoeda sem pagar custo de hardware, rede, energia, nada. Por isso este tipo de ataque é tão difícil de detectar. Se a organização não tem tecnologias de monitoração de recursos, orçamento e observabilidade configuradas e geridas sim, só vão descobrir quando a conta chegar no mês subsequente.

CTBR: Qual o poder de alcance de mineração dessas criptomoedas?

TM: Da mesma forma que muitos entusiastas investiram em máquinas com muitas placas de vídeo parrudas, energia solar, ar-condicionado etc. para minerar em casa – sem entrar no mérito se isto é ou não atrativo – um hacker consegue fazer o mesmo sem nenhum custo e em escala infinitamente maior.

Na nuvem você não precisa comprar máquinas e placas, esperar chegar, montar e configurar. Com clicks de mouse você escolhe as máquinas que deseja – inclusive com GPUs – na quantidade que desejar e, em poucos minutos, estão disponíveis para uso.

O hacker faz tudo isso de forma automatizada utilizando infraestrutura como código. Dessa forma, em menos de uma hora ele tem disponível um ambiente dezenas, potencialmente centenas de vezes maior que o parque de um grande investidor.

CTBR: Como uma empresa pode evitar ser vítima de um ataque desses?

TM: Governança e observabilidade: são as palavras que englobam processos e tecnologias. Não há solução única – não existe algo que eu diga para um cliente comprar e ele está imune aos ataques.

É necessária uma cultura de segurança da informação, um conjunto de práticas, em diversas camadas. Consumir nuvem não é apenas provisionar recursos. O acompanhamento de consumo é tão importante quanto usar a nuvem.

CTBR: Existe algum perfil de empresa mais procurado pelos hackers para invasão?

TM: Não. Toda empresa usando nuvem, se exposta e sem acompanhamento, é alvo. Não importa se sua conta mensal é R$500 ou R$50.000 de nuvem, um hacker com os privilégios administrativos necessários consegue provisionar o mesmo ambiente em ambos os perfis.

CTBR: Poderia trazer um case, exemplificar um ataque?

TM: As organizações que sofreram ataques certamente preferem ficar anônimas. A LGPD obriga que organizações alertem os titulares de dados sensíveis em caso de comprometimento dos dados, mas este tipo de ataque que objetiva minerar criptomoeda normalmente não envolve acesso à informação.

Sendo assim, dificilmente um ataque deste tipo se torna público. Posso dizer que apoiamos alguns clientes ao longo de 2023 a cancelar credenciais usadas indevidamente, identificar e corrigir fragilidades, eliminar ambiente provisionado pelos hackers e estabelecer políticas de governança e observabilidade antes inexistentes.

Em um destes clientes o hacker provisionou um ambiente que consumiu sozinho R$ 980 mil em menos de 36h. A conta de nuvem deste cliente era inferior a R$ 25 mil mensais.

O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok