31/01/2019
Crimes de sequestro de dados digitais avançam entre empresas brasileiras
Especialista indica que o melhor é não pagar o resgate pois, na maioria das vezes, criminosos recebem o dinheiro e desaparecem sem liberar os dados sequestrados
Quando você desligou o computador da empresa, antes de encerrar o expediente, tudo funcionava corretamente. O arquivo no qual estava trabalhando foi salvo e você foi para casa tranquilamente. No outro dia, ao ligar o aparelho, uma surpresa: o arquivo não pode ser acessado. No lugar dele, há uma mensagem dizendo que ele só poderá ser aberto mediante o pagamento de resgate em moeda digital. Em alguns casos, não é possível acessar nem mesmo a tela inicial do computador.
Esse tipo de crime é conhecido como ransonware e acontece quando um hacker criptografa os dados atacados, impedindo o acesso do usuário.
"Tinha acabado de chegar ao trabalho e percebi que o servidor de arquivos tinha uma quantidade de acessos anormal. Depois de investigarmos, descobrimos que era uma máquina da empresa que estava provocando esse acesso exagerado. Imediatamente desligamos o computador e o formatamos", conta o responsável pela área de TI de uma prestadora de serviços localizada no Centro-Oeste do Brasil. "Embora só um computador da empresa tenha sido atingido, todas as outras máquinas tiveram de ficar fora do ar até que o problema de segurança fosse resolvido."
Uma outra empresa, que fica no Sul do País, sofreu um ataque mais extenso e teve todos os seus computadores afetados. "Percebemos o problema após o ambiente virtual de trabalho ficar sem acesso. Depois de inúmeras tentativas de conexão aos servidores de virtualização do data center, percebemos que havia algo de errado", relata o responsável pela segurança digital da organização. "Todos os arquivos dos colaboradores que estavam nas estações foram atingidos. A variação do vírus era bem agressiva e nova, fazendo com que desde arquivos simples como do Word até arquivos do Windows fossem criptografados. O pedido de resgate estava na tela do usuário, em inglês, pedindo o pagamento em bitcoin para liberação da chave que reverte os arquivos para serem usados novamente."
Onde está a fragilidade
"Praticamente a totalidade dos casos de ransomware se inicia com o roubo de credenciais de acesso privilegiado. Isso pode acontecer de várias formas, sendo o phishing ou, mais especificamente, o spear phishing, a mais eficaz", explica Rodrigo Larrabure, sócio-diretor da CYLK, empresa especializada em segurança digital.
Phishing é um tipo de fraude eletrônica que rouba os dados das vítimas mediante um site com informações falsas, por exemplo. O spear phishing, especificamente, usa e-mails que parecem ser de uma fonte confiável, mas que, na verdade, contêm links para um site criminoso. É uma tática mais sofisticada do que parece – em alguns casos, os hackers podem estudar o estilo de comunicação da empresa, por exemplo, para enviar mensagens que convençam mais facilmente o usuário.
Segundo o Relatório da Segurança Digital no Brasil, produzido pelo DFNDR Lab, instituição especializada em cibercrimes, apenas no primeiro trimestre de 2018, 56,9 milhões de ciberataques foram realizados por meio de links maliciosos
As redes sociais, explica Larrabure, oferecem um perigo maior à imagem da empresa do que para a segurança dos seus dados. "Os dispositivos móveis, por outro lado, representam um risco significativo, independentemente de serem celulares, tablets ou notebooks. Não só porque eles podem ser roubados – e, assim, os dados são roubados com eles –, mas também porque dispositivos móveis tendem a se conectar em redes não seguras, como Wi-Fi de cafeterias, hotéis e aeroportos, onde estão sujeitos a vários tipos de interceptação", alerta.
Pagar resgate ou não?
Em ambos os casos relatados, nenhuma das empresas pagou o resgate exigido pelos criminosos para que o acesso aos dados fosse liberado. Como ambas tinham backup dos arquivos, recuperaram os documentos criptografados pelos hackers, mesmo que isso lhes tenha custado horas de trabalho.
Segundo Rodrigo Larrabure, a atitude das duas empresas foi acertada. "O melhor é não pagar [o resgate], lidar com o prejuízo e se preparar para não acontecer de novo. Isso porque são raríssimos os casos em que o sequestrador realmente devolveu os dados. Na imensa maioria das vezes, eles recebem o dinheiro e desaparecem."
Como se proteger
Em caso de sequestro de dados, recorrer às delegacias especializadas em crimes digitais não garante que os criminosos sejam identificados ou punidos.
"Os ataques geralmente partem de fora do País, de máquinas infectadas, tornando a identificação do atacante muito difícil. Ou seja, o criminoso pode até ser brasileiro, mas ele toma o controle de máquinas no exterior e envia o ataque a partir delas. Máquinas infectadas por vírus muitas vezes estão trabalhando no background para criminosos, e o dono da máquina nem desconfia", explica Larrabure. "A outra opção [para encontrar os criminosos] seria rastrear o caminho do dinheiro. Mas o pagamento da extorsão é sempre exigido em moeda digital, o que torna o rastreamento impossível."
Por isso, a melhor forma de evitar o sequestro de dados é se preparar para coibir esse tipo de crime. Segundo o especialista, porém, não existe fórmula mágica para isso. "É necessário investir constantemente em ferramentas tecnológicas adequadas, mas tão ou mais importante é ter processos bem desenhados e usuários conscientes e bem treinados. Os riscos à segurança dos dados estão em todos os lugares e mudam constantemente, portanto, é fundamental contar com consultoria especializada como forma de aplicar os recursos disponíveis com a maior eficiência e eficácia possíveis", analisa.
Larrabure ressalta a importância desses processos inclusive para as empresas que já foram vítimas de cibertaques. "Se nada for feito, o risco de o sequestro acontecer novamente é muito grande: quando um caso desses se torna público, outros criminosos ficam sabendo que aquele é um alvo vulnerável. Há também o risco de o mesmo criminoso voltar a atacar", pontua.
