Renacor – 19/05/2021

Valor Econômico – 19 de Maio de 2021

Especialistas em cibersegurança gostam de brincar que os hackers que transformaram o “ransonware” em um negócio multibilionário, muitas vezes, são mais profissionais até do que as maiores de suas vítimas. Os “ransomwares”, quando hackers travam sistemas de computação ou dados de seus alvos até o pagamento de um “resgate”, voltaram ao centro dos holofotes, recentemente, depois de ataques contra um dos maiores oleodutos dos Estados Unidos, as operações da Toshiba na Europa e o serviço de saúde da Irlanda.


Embora os governos tenham se comprometido a solucionar o problema, especialistas dizem que as gangues de criminosos se tornaram mais arrojadas e continuam em posição de vantagem. Há mais sofrimento por vir para as empresas, alertam. “Este provavelmente é o maior dilema quanto à [ciber] segurança, porque as empresas precisam decidir até que ponto participarão desse jogo de gato e rato”, disse Myrna Soto, diretora de estratégias da Forcepoint. “É uma batalha, é uma guerra, para ser honesta.”

Em 2020, o número de ransomwares cresceu mais de 60%, para 305 milhões, segundo dados da SonicWall, com os hackers aproveitando-se do trabalho remoto e das vulnerabilidades abertas em sua esteira. Pouco mais de 25% das vítimas pagaram para destravar seus sistemas, de acordo com analistas de cibersegurança da CrowdStrike.

Cerca de 25 gangues dominam o mercado, cujos negócios estão efervescentes. Elas ganharam pelo menos US$ 18 bilhões em resgates em 2020, segundo a firma de cibersegurança Emsisoft, com um pagamento médio em torno a US$ 150 mil. Muitas das gangues, cujos alvos antes eram indiscriminados, agora estão empenhadas em caçar “presas grandes” – para assim poder exigir resgates mais altos.

Criminosos com menos conhecimento tecnológico também se juntaram à onda, depois do surgimento de “serviços de ransomware” (Raas, na sigla em inglês), nos quais grupos “alugam” seus vírus na “dark web” para terceiros (seus “afiliados”) e ficam com uma parte do lucro do ataque. “Há bem poucas barreiras para entrar agora”, disse Rick Holland, diretor de segurança da informação no grupo de cibersegurança Digital Shadows.

Os supostos criminosos no caso da Colonial Pipeline, uma gangue russa chamada DarkSide, operam um programa de afiliados, segundo a firma de cibersegurança FireEye, de forma que algum outro grupo pode também ter participado do ataque ao oleoduto. “Agora há uma divisão de trabalho e os criminosos estão cooperando de forma transnacional”, disse Joshua Motta, cofundador e CEO do grupo de cibersegurança Coalition.

Especialistas e governos continuam a debater qual o modo mais eficiente de combater os cartéis de hackers. Uma das questões mais espinhosas é se os governos devem impedir totalmente que as vítimas paguem qualquer resgate. “Isso é algo que os governos precisam considerar seriamente”, disse Brett Callow, analista da Emsisoft. “Faça com que os ataques ransomware deixem de ser lucrativos e os ataques acabarão.” Os críticos à ideia, no entanto, advertem que essa proibição pouco faria para deter os hackers, em vista do baixo custo e do baixo risco de lançar os ataques.

Além disso, dizem que isso poderia redirecionar as miras das gangues a alvos mais vulneráveis, como hospitais. O FBI, polícia federal americana, aconselha a não pagar os resgates, mas no caso da Colonial Pipeline, a Casa Branca reconheceu a posição complicada em que as empresas se encontravam.

Em abril, uma força-tarefa público-privada de grandes grupos de tecnologia, como a Microsoft e a Amazon, em conjunto com autoridades americanas, recomendou tornar obrigatório que as empresas avaliem alternativas antes de pagar resgates e que, depois, caso acabem pagando-os, comuniquem um órgão governamental.

Muitas vítimas mostram-se reticentes em divulgar se foram atacadas ou se pagaram, por receio de danos a sua reputação ou de consequências jurídicas ou regulatórias. “Isso pode ser feito de forma reservada, há maneiras de fazer isso, de modo a desestigmatizar a questão”, disse Jen Ellis, vice-presidente de assuntos públicos e comunitários na firma Rapid7. “Mas comunicar [os ataques] nos dá mais capacidade para investigar os pagamentos [e] rastreá-los.”

Isso se conecta a outro grande requerimento que a força-tarefa e outros vêm fazendo: uma maior fiscalização governamental das bolsas de criptomoedas. Eles defendem que as bolsas deveriam seguir as mesmas leis contra a lavagem de dinheiro e de “conhecimento do cliente” que os serviços financeiros tradicionais. O governo dos EUA intensificou esforços para encontrar e julgar as próprias gangues de ransomware.

Em abril, o Departamento de Justiça dos EUA lançou uma unidade dedicada ao combate de ransomwares. Um dos objetivos, segundo uma mensagem do vice-secretário em exercício da Justiça, John Carlin, à qual o “Financial Times” teve acesso, é tomar medidas para “desestabilizar e desmantelar o ecossistema criminoso”. Normalmente, isso poderia incluir acabar com os servidores e outros serviços que facilitam a atuação dos cibercartéis, segundo Tom Kellermann, chefe de estratégia de cibersegurança na VMware e membro do conselho de assessoria a ciberinvestigações do Serviço Secreto dos EUA.

Kellermann sugeriu que poderia haver um papel a ser desempenhado pelos provedores de serviços de internet para acabar com fóruns na dark web associados a determinadas gangues. “Por que eles não derrubam isso, simplesmente não expurgam isso completamente da internet?”

Muitas vezes, os criminosos afiliados são mais descuidados e deixam pistas que permitem aos investigadores tomar ações, segundo Allan Liska, da equipe de resposta em segurança da computação da Recorded Future. Já há sinais de que as ações contra a infraestrutura dos hackers ajudaram a evitar um desastre ainda mais catastrófico no caso da paralisação da Colonial Pipeline.

No sábado retrasado, um grupo de empresas do setor, assim como agências governamentais como o FBI, frustraram os hackers ao derrubar servidores nos EUA que eles estavam usando para armazenar dados antes de enviá-los à Rússia, segundo duas fontes a par da situação. O caso foi noticiado primeiro pela Bloomberg.

Há poucas tentativas de processar as gangues, muitas das quais operam com impunidade na Rússia, um país que dificilmente as extraditaria. Em abril, o secretário do Tesouro dos EUA até acusou um dos serviços de inteligência da Rússia, o FSB, de “cultivar e cooptar” o grupo de ransomware Evil Corp. Em troca, os criminosos normalmente evitam atacar organizações na Rússia e podem ser chamados para compartilhar seu acesso aos sistemas das vítimas.

“Eu brinco que a forma mais segura de se proteger dos ransomwares é converter todos seus teclados para o cirílico russo”, disse Liska. “Não temos problemas com o ransomware. Temos um problema com a Rússia. É isso”, disse no Twitter o cofundador do grupo de segurança CrowdStrike, Dmitri Alperovitch, que hoje comanda centro de estudos Silverado Policy Accelerator.

A força-tarefa público-privada contra ransomwares recomendou uma maior coordenação internacional e “exercer pressão” sobre os países que se recusem a colaborar – por exemplo, por meio de sanções ou congelando vistos ou programas assistenciais. Até agora, os EUA têm optado por aplicar sanções contra grupos específicos, como a Evil Corp.

Em outubro, o Tesouro dos EUA emitiu um alerta a todos os grupos que possam estar ajudando a facilitar o pagamento de resgates – empresas de seguros, negociadores, firmas de cibersegurança – para que não infrinjam as sanções. Também fez um alerta similar a órgãos financeiros, como as bolsas de criptomoedas. Nem todos deram ouvidos a esses alertas.

Segundo dados da Chainalysis, que analisa transações com “blockchain”, cerca de 15% dos pagamentos de resgates que acompanhou em 2020 – o que representa um total de US$ 60 milhões – podem ter violado as sanções, já que parecem ter sido enviados a grupos incluídos em listas de nomes vetados ou a afiliados a esses grupos.

Com poucas opções para abrir processos, um especialista a par da estratégia do governo diz que as autoridades deverão esperar para agir contra os que atacaram a Colonial Pipeline. “São 10 ou 15 garotos ou garotas que gostam de festas e querem ter rios de dinheiros. Você não vai atrás deles na Rússia, você vai atrás deles quando estiverem em férias na Grécia.”