Ransomware: Por que tantas empresas bilionárias viraram alvos de hackers?
Cada vez mais frequentes, invasões que visam o sequestro de dados de empresas estão se tornando especializadas e complexas. O lucro para os criminosos é tanto que a linha de corte para selecionar um alvo é ter receita acima de 1 bilhão de dólares
André Lopes
Publicado em 12 de junho de 2021 às 07h00.
Última atualização em 12 de junho de 2021 às 16h19.
Entre os dias 30 e 31 de maio, os sistemas que controlam a operação da gigante brasileira dos alimentos JBS sofreram um colapso. Partindo da Austrália, uma invasão planejada por hackers ainda desconhecidos deu sumiço em dados importantes das unidades da empresa em países como Canadá e Estados Unidos, e causou a interrupção de algumas atividades do frigorífico nestas áreas até o dia 3 de junho.
Sequestro de dados como este não é uma novidade para as equipes de segurança digital de grandes empresas. A ferramenta usada para travar as informações já tem um nome conhecido entre os especialistas: são os ataques de ransomware. No entanto, segundo um estudo conduzido pela empresa de segurança Trend Micro, os criminosos que usam deste artifício estão voltando suas ações cada vez mais para corporações de porte semelhante ao da JBS, com receitas superiores a 1 bilhão de dólares por ano.
No caso da brasileira, o The Wall Street Journal apurou que na quarta-feira, 9, a empresa preferiu aceitar a oferta de resgate dos dados e pagou a bagatela de 11 milhões de dólares aos hackers. O pagamento foi feito, claro, em bitcoin. Numa tentativa, por parte dos hackers, de impedir o rastreamento da quantia.
Segundo o jornal, a JBS se viu em uma situação de último recurso para garantir a proteção das plantas do frigorífico de novas interrupções e limitar o impacto a restaurantes, lojas e fazendeiros que dependem da companhia, afirmou ao jornal André Nogueira, diretor da divisão americana da JBS. "Foi muito doloroso pagar aos criminosos, mas fizemos o que era correto para os nossos consumidores", disse, reiterando que a empresa só pagou a quantia depois que os sistemas foram restabelecidos nas plantas da empresa.
Em uma ocorrência semelhante, no mês de maio, a Colonial Pipeline, operadora de oleodutos responsável por quase metade do abastecimento de combustíveis para a Costa Leste dos Estados Unidos, também aceitou pagar um resgate de 5 milhões de dólares em criptomoedas a um grupo de hackers após quase 10 dias de operações limitadas. Os cibercriminosos ameaçavam divulgar informações confidenciais roubadas dos computadores da companhia e, segundo o que disse o presidente da Colonial Pipeline, Joseph Blount, o ataque ocorreu usando um sistema antigo de rede privada virtual (VPN) que não possuía autenticação multifator.
Em termos mais simples: todo o sistema da empresa foi acessado usando uma única senha. Nenhuma grande artimanha tecnológica foi necessária. "No caso dessa VPN antiga em particular, ela só tinha uma única etapa de verifcação", disse Blount. "Era uma senha complicada, quero deixar isso claro. Não era uma senha do tipo Colonial123”, disse o CEO.
Com os alvos são escolhidos?
A lista de companhias invadidas em 2021 é grande e alguns nomes são conhecidos. Vai de Edward Don, centenária fornecedora de alimentos nos Estados Unidos, até o McDonalds, e as duas gigantes dos videogames Electronic Arts e CD Projekt Red. O objetivo em todos os casos é conseguir extorquir o dinheiro do resgate. Em desfavor das empresas está o fato de que, quanto maior elas forem, mais suscetíveis estão à paralisação de suas atividades — e mais dispostas elas se mostram a pagar pra se verem livres dos invasores. Outro agravante é o fato de que as gigantes estão sempre efetuando muitas aquisições, e no caminho, as empresas fundidas deixam brechas em seus sistemas, em alguns casos, do tempo em que ainda eram apenas startups.
Assim, na hora de escolher uma vítima, é levado em conta tudo que possa abalar a segurança digital das corporações. Entidades criminosas, que em meados de 2016 atuavam contra pequenas empresas e até com dados domésticos, agora já possuem lucro suficiente para explorar vulnerabilidades em alvos de alto perfil. Para se infiltrar em organização, os grupos usam métodos como phishing, exploração de brechas de segurança e até mesmo pagamentos para funcionários que trabalham nas companhias-alvo.
Um relatório da Kaspersky, empresa russa líder mundial em segurança digital, destaca que ataques de ransomware aumentaram 767% em 2020 entre sua base de clientes, em comparação com 2019. De 985 para 8.538. E atenta para o novo detalhe: quanto maior o tamanho da empresa, mais frequente é a tentativa de ataque, já que uma operação criminosa sofisticada rende valor maior para o resgate.
Em outro levantamento, realizado pela McAfee e pelo Centro de Estudos Estratégicos e Internacionais (CSIS), os ataques geram prejuízos à economia global na casa de 1 trilhão do dólares, equivalente a 1,14% do PIB do planeta em 2019. Só em resgates, a consultoria especializada em blockchain, Chainanalysis, estima que foram gastos 350 milhões de dólares em criptomoedas no ano passado. Ransomware é o maior problema global quando se trata de crimes em todas as áreas.
Quem são os criminosos?
Para entender melhor quem está por trás das invasões mais recentes, a Kaspersky se infiltrou em fóruns da darknet e seguiu o rastro de alguns grupos para produzir um relatório. A intenção era identificar as táticas dos criminosos e como eles se organizavam.
Para a surpresa dos pesquisadores, o atual ecossistema do ransomware se profissionalizou. Há quem trabalhe com o desenvolvimento do malware, quem venda o acesso às redes e os donos de ferramentas de automação. Em um sistema de prestação de serviços, eles negociam parcerias entre o operador do grupo de ransomware e seus afiliados – “sendo que o operador fica com 20%-40% dos lucros enquanto os 60-80% restantes são divididos com os afiliados”.
Por que as invasões aumentaram?
As empresas estão mais vulneráveis. Considereque apandemia forçou milhares de companhias a adotarem o home-office. Milhões de computadores pessoais começaram a acessar redes e arquivos profissionais remotamente. Consequentemente, milhões de portas abertas para a atuação dos cibercriminosos.
Além disso, esse crime não tem fronteiras físicas e consegue escapar das leis. A maioria dos crimes cibernéticos ocorridos em países ocidentais partem da Rússia ou de outros países que faziam parte da extinta União Soviética, fato que já causa até mesmo mal estar diplomático.
Em maio, o presidente americano, Joe Biden, afirmou que conversaria com seu par russo, Vladimir Putin, para cobrar uma “ação decisiva contra essas redes de ransomware ”. Ataques eletrônicos contra negócios e órgãos do governo americano são considerados parte de uma estratégia de desestabilização promovida, ou no mínimo tolerada, pelo governo russo.
O resgate pago em bitcoin impede as investigações?
A moeda digital é a preferência para os negócios ilícitos, mas não é um atravancante para investigar os hackers. Um anúncio feito por autoridades federais dos Estados Unidos trouxe uma boa notícia neste sentido: parte dos bitcoins pagos pela Colonial Pipeline foram recuperados. A ação dos agentes confirmou que atualmente as criptos já não são tão difíceis de rastrear quanto os criminosos imaginam.
Para se desvenciliar dos investigadores, o dinheiro foi movimentado por pelo menos 23 contas eletrônicas diferentes pertencentes ao grupo de hackers DarkSide, que no fim, mesmo com os despistes, foi confiscado pelo FBI. Isto mostra que a competência das agências policiais e das autoridades está crescendo junto com o conhecimento geral sobre o blockchain das criptomoedas.
Embora a moeda digital possa ser criada, movida e armazenada sem supervisão de qualquer governo ou instituição financeira, cada pagamento é registrado. Significa que todas as transações em bitcoins acontecem de forma aberta. O livro-caixa do bitcoin pode ser visto por qualquer pessoa conectada ao blockchain. Para os hackers, trata-se de uma brecha que precisa de uma atualização de segurança.
Quais são as grandes acontecimentos do mundo digital? Descubra lendo a EXAME. Assine.