0
0
Com o dia da eleição se aproximando, os governos locais precisam estar preparados para ataques de malware na infraestrutura eleitoral.
As gangues de ransomware entraram oficialmente na disputa eleitoral de 2020, com relatos de uma das primeiras violações da temporada de votação, no Condado de Hall, Ga. O banco de dados de assinaturas de eleitores do condado foi impactado no ataque junto com outros sistemas do governo.
Embora o condado tenha dito que o processo de votação não foi afetado pelo ataque do ransomware, o incidente é um aviso para que outros municípios bloqueiem seus sistemas, particularmente nestes últimos dias que antecederam a eleição.
O condado de Hall fica cerca de uma hora ao norte de Atlanta e relatou o ataque pela primeira vez em 7 de outubro.
Os ataques de ransomware envolvem um criminoso introduzindo malware nos sistemas do alvo, que então toma conta dos dados de uma organização e criptografa-os até que um resgate seja pago.
Ataque de Ransomware do Condado de Hall
Em 21 de outubro, o Gainesville Times informou que o mapa da delegacia do condado foi derrubado como resultado de um ataque de ransomware, além de um banco de dados de assinatura de eleitores.
Foi só em 22 de outubro que o condado anunciou: “O processo de votação para os cidadãos não foi afetado pelo ataque.”
“Um ataque de ransomware ocorreu envolvendo sistemas críticos dentro das redes do governo do condado de Hall, incluindo uma interrupção dos serviços telefônicos”, de acordo com um comunicado de imprensa. “Assim que ocorreu, o município começou a trabalhar para investigar a causa, restaurar as operações e determinar os efeitos do incidente.”
A coordenadora de registro do Condado de Hall, Kay Wimpye, desmente o jornal de que alguns dos sistemas já estão funcionando novamente e se houver uma questão sobre a assinatura de uma cédula, os funcionários do condado ainda são capazes de retirar cartões de registro de eleitores manualmente. Mas com o número recorde de cédulas de e-mail sendo apresentadas, isso pode ser um processo demorado.
Wimpye disse ao Times que seu escritório enviou 27.573 cédulas ausentes em 21 de outubro, e 11.351 haviam sido enviadas de volta. O Secretário de Estado da Geórgia informou que, até 21 de outubro de 2016, 103.239 cédulas de correio haviam sido devolvidas, contra 805.442 no mesmo dia em 2020, mostrando uma explosão no número de eleitores optando por votar por correio neste ciclo eleitoral. Embora as assinaturas estejam sendo verificadas agora, as cédulas não serão tabuladas até o dia da eleição, de acordo com o Times.
Ransomware e o Setor Público
Os ataques de ransomware cronometrados tão perto do Dia da Eleição ameaçam jogar uma competição já controversa em total desordem.
Brandon Hoffman, CIO de Nentenrich, chamou o ataque à infraestrutura de votação de “inevitável”.
“A onda de ransomware foi essencialmente desmarcada e é lógico que esse tipo de malware seria o único a ser atingido”, acrescentou. “Por outro lado, com ransomware, a infraestrutura eleitoral provavelmente não era o principal alvo.”
Mas, Hoffman adverte, isso pode mudar.
“O fato de que isso foi bem sucedido valida o caminho de ataque”, disse ele. “A validação do caminho de ataque é um passo fundamental em qualquer sequência de ataque, e testá-lo em cenários de pequena escala sempre faz sentido. Se os profissionais de segurança que trabalham com tecnologia de votação já não eram extra-vigilantes, não há tempo a perder para se preparar demais.”
As organizações do setor público já são um alvo suculento para ataques de malware. Mais da metade (52%) das organizações do setor público foram atacadas e viram o malware se espalhar de um usuário comprometido para colegas, de acordo com um relatório recente sobre segurança de e-mail do setor público da Mimecast.
O relatório acrescentou que 9% dos atacados experimentaram mais de uma semana de inatividade como resultado, a maioria de qualquer outra indústria. E com a eleição a pouco mais de uma semana de distância, isso pode significar um desastre para obter votos tabulados a tempo.
Matthew Gardiner, estrategista de segurança cibernética da Mimecast, disse ao Threatpost por e-mail que os atacantes veem um pagamento fácil nos governos locais.
“Os cibercriminosos centrados em ransomware estão focados no dinheiro”, disse ele. “Assim, eles se concentram em atingir organizações relativamente fáceis de entrar e têm capacidade/disposição para pagar o resgate. Em geral, cidades, municípios, cidades e distritos escolares pontuam alto aqui.”
Uma vez que um resgate é pago, Gardiner comparou-o com “sangue na água para tubarões”, atraindo mais predadores. O prazo da eleição pode aumentar o preço dos dados ou motivar as metas a pagar mais rapidamente, mas além disso, Gardiner não vê o resultado da eleição como um motivador específico para os cibercriminosos.
Patches e Treinamento
Para manter os sistemas protegidos em um momento tão sensível, duas coisas simples podem fazer uma grande diferença: patches e treinamento de funcionários, de acordo com Daniel Norman, analista sênior de soluções do Fórum de Segurança da Informação.
“Seguindo em frente, os usuários finais devem receber ampla consciência de segurança, educação e treinamento sobre a ameaça do ransomware, particularmente seu mecanismo de entrega”, disse Norman em um comunicado enviado por e-mail. “Normalmente, o sucesso do ransomware depende se a organização-alvo corrigiu ou não seus dispositivos corretamente. Portanto, ter todos os sistemas corrigidos e atualizados é um mínimo de segurança.”
O Ransomware está em ascensão em todo o mundo graças à pandemia, um aumento de mais de 109% em relação ao ano passado, de acordo com o Relatório de Ameaças Cibernéticas 2020 da SonicWall.
Hank Schless, gerente sênior de soluções de segurança da Lookout, apontou que os trabalhadores espalhados pelo mundo em dispositivos móveis estão mais vulneráveis do que nunca a manobras socialmente projetadas à medida que alternam entre aplicativos pessoais e profissionais.
“À medida que os trabalhadores de todo o mundo começaram a trabalhar em casa, as organizações permitiram que seus funcionários se mantenham produtivos usando dispositivos móveis e os atacantes sabem disso”, disse Schless.
“As organizações que são proativas em proteger dispositivos móveis com segurança móvel estão na vanguarda da inovação e demonstram que estão se adaptando ao cenário de ameaças em rápida evolução atual”, acrescentou.
Quanto ao Condado de Hall, sua porta-voz Katie Crumley se recusou a fornecer um comentário ao Threatpost, além do comunicado de imprensa, “por motivos de segurança”. O comunicado diz que o condado “solicitou a assistência de profissionais de segurança cibernética de terceiros para acelerar a recuperação”.
FONTE: THREATPOST