Os criminosos então cobram uma taxa a ser paga em criptomoeda, via de regra bitcoin, para liberar o acesso. — Foto:Reprodução
SÃO PAULO, SP (FOLHAPRESS) — O ano de 2022 começou com uma movimentação atípica no mundo da cibersegurança, duas das principais gangues no mundo, especializadas em sequestros digitais, sofreram contragolpes.
O grupo Conti, que teve lucro milionário no ano passado, teve conversas e documentos internos expostos na internet. O caso ocorreu pouco depois da prisão de alguns dos cabeças de outra grande gangue, REvil.
Embora as atividades desses criminosos não tenham cessado totalmente, o baque cria um espaço para disputa de poder na área.
Conti e REvil são especializados em ransomware, com suspeita de terem base na Rússia. Ransomwares são programas maliciosos (ou malwares) que bloqueiam o acesso a dados e sistemas informáticos.
Os criminosos então cobram uma taxa a ser paga em criptomoeda, via de regra bitcoin, para liberar o acesso.
O Conti é responsável pela variante mais lucrativa da história desse tipo de vírus, e o REvil foi o líder em ataques detectados em 2021.
Os ataques de ransomwares vêm em alta nos últimos anos. Com organizações cada vez mais profissionais, e técnicas mais sofisticadas, os criminosos viram sua arrecadação disparar nos últimos meses.
Dados divulgados no dia 24 de março pela Unit 42, divisão de pesquisa da empresa de cibersegurança Palo Alto Networks, colocam o Brasil na nona posição global em termos de números de empresas vítimas de ransomware.
Os ataques, apontam especialistas ouvidos pelas Folha de S.Paulo, vêm de todos os lados: de pessoas com menos capacidade técnica aos grandes grupos em atividade no mundo — tanto Conti quanto REvil atuam no país.
Uma tentativa de implosão do Conti aconteceu com a guerra entre Rússia e Ucrânia.
O Conti manifestou apoio aos russos no conflito — alguns concorrentes escolheram o lado ucraniano e outros disseram ser neutros por estarem apenas interessados em dinheiro. Isso causou um racha na equipe, e motivou vazamentos de documentos e conversas internas que permitiram uma rara oportunidade de ver a gangue por dentro.
Além de ser possível ver que sua operação era estruturada como se fosse uma empresa, foram descobertas negociações com vítimas até então desconhecidas, indicando que o resgate foi pago.
Nessas conversas, membros do Conti revelam uma análise atenta dos balancetes das vítimas para determinar o valor a ser cobrado pelo resgate. Além disso, são vistos os planos audaciosos da gangue — os documentos vazados mostram até um papo, talvez não tão sério, sobre abrir um cassino.
Grupo extorquiu cerca de R$ 850 milhões em um ano Não dá para dizer que os planos seriam frustrados por falta de dinheiro: é nisso que o Conti se destaca. Análise da Chainalysis, especializada em dados de criptomoedas, mostra que o Conti recebeu U$ 180 mi (aproximadamente R$ 850 milhões) no último ano com extorsões.
“O Conti não afetava uma vítima com US$ 100 milhões de lucros reportados, o que geralmente envolve empresas abertas em Bolsa. Se tivessem acesso a rede de empresa com lucro menor, não concluíam o ataque”, explica Fabio Assolini, pesquisador da empresa de cibersegurança Kaspersky.
“No Brasil, vemos médias e grandes empresas sendo atacadas por diversos grupos, aqueles que miram para todo lado, e outros que são mais cirúrgicos [como o Conti].”
Os critérios usados por diferentes grupos podem não ser exatamente os mesmos, mas o caso é ilustrativo da estrutura dessas gangues — e há várias outras em atuação.
Mesmo o Conti não se intimidou tanto com os vazamentos e foi visto em investidas nos últimos dias, conforme análise da consultoria especializada em cibersegurança NCC Group.
Para Assolini, o golpe contra o Conti cria um certo vácuo temporário nos ransomwares. Especialmente porque acontece logo depois que outro grande grupo, o REvil, foi preso na Rússia, em janeiro. Trata-se da gangue com maior volume de ataques detectados em 2021, segundo relatório da IBM.
Assolini avalia que outras gangues tentarão ocupar o espaço, e essas mesmas organizações criminosas devem voltar no futuro sob outros nomes.
Punições legais a esses grupos, como o que houve com o REvil, são raras, pois muitos deles têm membros em vários países, ou atuam mirando alvos de nacionalidades diferentes das suas, o que exige cooperação internacional.
Com isso em mente, algumas autoridades começaram a mudar a forma de atuar contra esses grupos, com foco em ajudar as empresas a se defender em vez de tentar descobrir e quem são e punir os atacantes, além de enrijecer leis para lidar com esses casos.
O que fazer para se defender Os cuidados para bloquear ataques de ransomware começam pela configuração adequada de serviços conectados à internet, como acessos remotos a computadores ou VPN.
“Evite colocar as coisas de cara na internet”, diz Daniel Barbosa, da empresa de cibersegurança Eset. Ou seja, a lógica é cuidar com a pressa ao conectar os serviços, evitando as configurações (e senhas) padrão, bem como usar aqueles mecanismos que exigem um outro passo além da senha para obter acesso aos sistemas — procedimento conhecido como autenticação de múltiplos fatores.
Além disso, o especialista recomenda cuidado com gestão de acesso (quem pode entrar em qual sistema). Essa medida é particularmente importante para combater RaaS.
Também é importante segregar as redes internas das firmas. “Manter as redes de servidores separadas das estações de trabalho”, explica Barbosa, fazendo a ressalva de que é necessário ter cuidado para não deixar as pontes que ligam essas redes distintas.
Ele também recomenda cuidados com as ferramentas de segurança implementadas. “Não adianta usar algo que o próprio funcionário consiga desabilitar”, afirma.
O estado da arte nessas defesas é a adoção do chamado protocolo de “zero trust” (confiança zero), um conjunto de regras de segurança que englobam todos esses passos descritos por Barbosa — e mais alguns.
Nele, os acessos a sistemas e dados da empresa são limitados apenas aos necessários para a função. Além disso, as pessoas precisam constantemente confirmar sua identidade para obter acesso aos serviços, mesmo que estejam usando um computador no prédio da companhia.
Historicamente, a recomendação de especialistas em cibersegurança é que as empresas tenham boas defesas e um bom plano para reagir em caso de incidente, e não paguem resgates aos criminosos para restabelecer os acessos.
“Não há garantias de retorno à normalidade”, diz Flavio Silva, coordenador de segurança da informação da Trend Micro Brasil. Ele também alerta que, mesmo com o pagamento e a volta dos sistemas, os hackers podem continuar com as tentativas de extorsão, por exemplo, para não vazar dados roubados.
Daniel Bortolazo, engenheiro de sistemas da Palo Alto Networks, recomenda começar a estratégia de defesa com uma análise de impacto ao negócio. Em quais áreas uma perda de dados seria mais danosa? Qual setor pode levar a uma crise de imagem mais aguda caso seja comprometido?
Com isso, é possível priorizar as defesas e até mesmo aplicar o zero trust apenas em cantos específicos, dado que a implementação em larga escala é custosa e demorada.
Bortolazo também faz um alerta para o retorno aos escritórios. Com a pandemia e funcionários trabalhando remotamente, os esforços da TI naturalmente se voltaram para proteger o ambiente pensando nas pessoas trabalhando a distância. “Mas a evolução da segurança da instituição ficou parada dois anos”, diz.
Agora, as defesas precisam considerar uma maior movimentação dos funcionários, nos modelos híbridos. “Tenho um laptop que vem para casa, passa por uma cesso remoto que tem segurança na chegada, mas vai também voltar para o escritório de tempos em tempos”, diz. “Existe um desconhecido aí das novas possibilidades de ataques que vão aparecer”.
