FBI reteve a chave de descriptografia de ransomware das empresas para executar a operação direcionada a hackers

Views: 80
0 0
Read Time:8 Minute, 31 Second

O FBI se absteve por quase três semanas de ajudar a desbloquear os computadores de centenas de empresas e instituições prejudicadas por um grande ataque de ransomware neste verão, embora o departamento tenha obtido secretamente a chave digital necessária para fazê-lo, de acordo com várias autoridades atuais e antigas dos EUA.

A chave foi obtida através do acesso aos servidores da gangue criminosa russa por trás do ataque de julho. Implantá-lo imediatamente poderia ter ajudado as vítimas, incluindo escolas e hospitais, a evitar o que os analistas estimam ser milhões de dólares em custos de recuperação.

Mas o FBI manteve a chave, com o acordo de outras agências, em parte porque planejava realizar uma operação para interromper os hackers, um grupo conhecido como REvil, e o departamento não queria afastá-los. Além disso, uma avaliação do governo descobriu que o dano não era tão grave quanto inicialmente temia. A queda planejada nunca ocorreu porque em meados de julho a plataforma do REvil ficou offline — sem a intervenção do governo dos EUA — e os hackers desapareceram antes que o FBI tivesse a chance de executar seu plano, de acordo com as autoridades atuais e antigas.

O episódio não relatado anteriormente destaca os compromissos que as autoridades policiais enfrentam entre tentar danificar redes criminosas cibernéticas e ajudar prontamente as vítimas de ransomware – malware que criptografa dados em computadores, tornando-os inutilizáveis.

A Casa Branca fez do combate ao ransomware uma prioridade, e o presidente Biden instou o presidente russo Vladimir Putin a conter criminosos de ransomware que operam fora da Rússia.

Biden diz a Putin que os EUA tomarão “quaisquer ação necessária” para defender setores críticos atacados por ransomware

“As perguntas que fazemos de cada vez são: Qual seria o valor de uma chave se divulgada? Quantas vítimas existem? Quem poderia ser ajudado?” disse um indivíduo familiarizado com o assunto, que, como outros, falou sob a condição de anonimato para discutir um assunto sensível. “E, por outro lado, qual seria o valor de uma possível operação de longo prazo na interrupção de um ecossistema? Essas são as perguntas que continuaremos a ter que equilibrar.”

O FBI finalmente compartilhou a chave com Kaseya, a empresa de TI cujo software foi infectado com malware, em 21 de julho — 19 dias depois de ter sido atingido. Kaseya pediu à empresa de segurança Emsisoft, com sede na Nova Zelândia, para criar uma nova ferramenta de descriptografia, que Kaseya lançou no dia seguinte.

Até lá, já era tarde demais para algumas vítimas.

“A chave decodificadora teria sido boa três semanas antes de a obtermos, mas já havíamos iniciado uma restauração completa dos sistemas de nossos clientes”, Joshua Justice, proprietário da empresa de TI de Maryland JustTech, que tinha cerca de 120 clientes afetados pelo ataque.

Na terça-feira, o diretor do FBI Christopher A. Wray, testemunhando perante o Congresso, indicou que o atraso resultou em parte do trabalho em conjunto com aliados e outras agências. “Tomamos as decisões como um grupo, não unilateralmente”, disse ele, observando que teve que restringir suas observações porque a investigação estava em andamento. “Estas são decisões complexas… projetadas para criar o máximo impacto, e isso leva tempo para ir contra adversários, onde temos que mobilizar recursos não apenas em todo o país, mas em todo o mundo.”

Ele também sugeriu que “testar e validar” a chave de descriptografia contribuiu para o atraso. “Há muita engenharia necessária para desenvolver uma ferramenta” que pode ser usada pelas vítimas, disse ele em uma audiência do Comitê de Segurança Interna do Senado.

A Emsisoft, no entanto, conseguiu agir rapidamente. Ele extraiu a chave do que o FBI forneceu à Kaseya, criou um novo decodificador e o testou — tudo em 10 minutos, de acordo com Fabian Wosar, diretor de tecnologia da Emsisoft. O processo foi rápido porque a empresa estava familiarizada com o ransomware do REvil. “Se tivéssemos que ir do zero”, disse Wosar, “teria levado cerca de quatro horas”.

O Departamento de Justiça e a Casa Branca se recusaram a comentar.

Anatomia de um ataque de ransomware

Em junho, a REvil atacou JBS, o maior fornecedor de carne do mundo, encerrando temporariamente algumas operações na Austrália, Canadá e Estados Unidos.

Um mês depois, pouco antes do fim de semana de quatro de julho, atingiu Kaseya, afetando pequenas cidades de Maryland, mercearias na Suécia e escolas na Nova Zelândia.

Naquele ataque de julho, a REvil invadiu o software fornecido pela Kaseya, uma empresa de TI com sede em Miami, e 54 dos clientes da Kaseya foram infectados. Muitas das vítimas eram “provedores de serviços gerenciados” que fornecem software de TI aos clientes para melhorar a eficiência da rede. Centenas de clientes dos provedores de serviços gerenciados, que estavam usando o software Kaseya, foram vitimados por sua vez. Kaseya estimou que entre 800 e 1.500 empresas no total foram infectadas.

Justice, cuja empresa JustTech é um dos clientes MSP da Kaseya, passou mais de um mês restaurando os sistemas de seus clientes. “Eu cresci pessoas chorando para mim pessoalmente e por telefone perguntando se seus negócios continuariam”, disse ele. “Eu pedi para um homem dizer: ‘Devo me aposentar? Devo deixar meus funcionários irem?’ ”

Sem a chave para restaurar dados criptografados a um estado legível, as vítimas foram forçadas a tentar recuperar cópias de backup de dados ou substituir seus sistemas — processos caros e demorados.

A justiça tinha equipes de segurança trabalhando em turnos de 18 horas para colocar os próprios sistemas da empresa e de seus clientes em funcionamento. Foi, disse Justice, “um mês de inferno”.

A cadeia sueca de supermercados Coop disse que ainda não sabe quanto custa fechar temporariamente suas lojas. “Tivemos que fechar cerca de 700 de nossas lojas, e levou seis dias até que todas elas abrissem novamente”, disse a porta-voz Helena Esscher em um e-mail. “O impacto financeiro depende de vários fatores, como perda de vendas, é claro, mas também seguros e em que medida eles cobrem eventos como o que ocorreu.”

Dois analistas que estudam cadeias de supermercado disseram que o fechamento da Coop poderia ter custado à empresa milhões de dólares em negócios perdidos.

A pressão aumenta sobre Biden para conter ataques de ransomware

O executivo-chefe da Kaseya, Fred Voccola, disse acreditar que os danos causados pelo ataque não foram tão grandes quanto inicialmente temiam. Ele disse em uma mensagem de vídeo na semana seguinte ao ataque que a empresa trabalhou rapidamente para evitar que os danos se espalhassem. “Se eu fosse você, ficaria muito, muito frustrado – e você deveria estar”, disse ele. Mas, acrescentou ele, “As pessoas fazem a história, fazem o impacto disso, maior do que é.”

A porta-voz da Kaseya, Dana Liedholm, se recusou a comentar quem forneceu a chave. Kaseya não pagou um resgate e nunca se envolveu com REvil, disse Liedholm.

Perguntado se Kaseya estava satisfeita com a resposta do FBI no caso, Liedholm disse: “Não posso descrevê-la além de dizer que ficamos muito felizes com a maneira como eles trabalharam conosco”.

Ela disse que não sabia quantos dos 54 clientes da empresa conseguiram usar a chave. Ela observou que “muitos foram capazes de restaurar [seus sistemas] a partir de backups”, enquanto alguns não.

Nenhum dos clientes da JustTech pagou um resgate porque o provedor de TI conseguiu restaurar sistemas a partir de backups que mantinha separadamente, disse Justice. Outras empresas, preocupadas com o impacto em seus negócios, pagaram um resgate muito antes da chave de decodificação ficar disponível.

Ataque global de ransomware leva uma pequena cidade de Maryland offline

O REvil exigiu resgates que variavam de US$ 45.000 a US$ 5 milhões por dispositivo infectado, dependendo do tamanho da empresa. Em um ponto, exigiu que Kaseya pagasse US$ 70 milhões por uma chave de decodificação universal — uma chave que funcionaria em todas as redes afetadas.

Algumas empresas de resposta a incidentes cobram de US$ 400 a US$ 500 por hora por investigar o ataque, incluindo aprender como o intruso entrou, expulsar o atacante e conter o dano. Depois, há custos para restaurar sistemas usando dados de backup e construir resiliência para evitar um ataque repetido. Os custos legais e contábeis também devem ser levados em consideração.

Os decodificadores fornecidos por criminosos de ransomware não oferecem uma solução fácil. Eles geralmente contêm falhas de software, então a descriptografia pode ser lenta ou não confiável. Além disso, uma vez que um sistema é desbloqueado, ele ainda precisa ser limpo de todo o malware que o criminoso possa ter deixado. Tudo isso requer tempo e experiência, o que aumenta os custos de recuperação.

Um hospital na Romênia foi atingido, mas tinha backups em papel de todos os registros de pacientes para “que os salveissem”, disse Alexandru Cosoi, diretor de investigações e forense da Bitdefender, uma empresa de segurança cibernética com sede em Bucareste.

Na quinta-feira, o Bitdefender lançou um decodificador “universal” que desbloqueará todos os sistemas criptografados pela REvil antes de 13 de julho — a data em que a plataforma ficou offline. Cosoi disse que a empresa obteve a chave de um “parceiro policial”, cuja identidade a empresa é obrigada a manter em segredo por enquanto. O parceiro não era o FBI, de acordo com pessoas familiarizadas com o assunto.

Cosoi disse que a empresa recebeu a chave na terça-feira e a testou para garantir que funcionasse antes de disponibilizá-la. Seria de maior benefício, disse ele, para as vítimas que podem ter sistemas parcialmente restaurados e ainda ter dados criptografados que poderiam ser desbloqueados.

Até terça-feira, mais de 265 vítimas do REvil em todo o mundo haviam usado o decodificador em suas redes, disse Cosoi, um número que obtêm ao anotar o número de redes que se conectam aos servidores do Bitdefender para ativar o decodificador.

Ele advertiu, no entanto, que os ataques continuarão — ransomware é muito lucrativo para os criminosos desistirem. E apesar dos avisos de Biden a Putin, as incursões continuam.

Este mês, o Mal reapareceu. Reconstruiu sua plataforma e retomou sua atividade. Até terça-feira, havia registrado pelo menos oito novas vítimas, incluindo um fabricante de plásticos e um serviço de assistência jurídica para os pobres.

A chave universal liberada pelo Bitdefender não ajudará essas vítimas.

FONTE: The Washington Post

Previous post Preso em um fogo cruzado: como seus dados acabam em fóruns criminosos
Next post O que é segurança física? Como manter suas instalações e dispositivos a salvo de atacantes no local

Deixe um comentário