0
0
As informações corporativas são das mais lucrativas para os hackers e o valor tem vindo a ascender de ano para ano. Perante uma panóplia de cibercrimes, o Ransomware é dos mais utilizados e não se trata apenas de um ataque tecnológico. Por entre peças do jogo, fases de ataque, sinais e defesas, percebe-se que o próprio lesado desempanha um papel significativo neste cibercrime.
Ultimamente temos ouvido “ciberataque”, “hackers” e “ransomware”. Estes termos dispararam, nas últimas semanas, nos meios de comunicação e nas redes sociais e, de rajada, seguem-se questões como: O que são? Como atuam? Qual o objetivo? Como as combatemos e como nos prevenimos? Os ataques informáticos têm marcado a atualidade e já não conseguimos fechar os olhos a esta ameaça. Na “Era de ouro do Ransomware”, temos de conhecer o jogo, os jogadores, as peças importantes e os possíveis ataques e defesas.
Mergulhar na Internet não é tão diferente como sair de casa e explorar o mundo, os utilizados debatem-se com escolhas infindáveis, entre sites, chats ou aplicações e com ameaças que estão muitas vezes ao virar da esquina. Os vários combates com que nos deparamos nos dois mundos têm sempre um vencedor e um vencido. O mundo no qual vivemos é inevitavelmente digital e também é composto por desafios, missões, etapas e ameaças. Daí ser necessário ativarmos um escudo de proteção para salvaguardar interesses, dados e informações, que se conjugam no virtual e no real, porque, entre muitas coisas que a pandemia potenciou, a devoção ao digital foi uma delas.
AS PEÇAS DO JOGO
A Web abre a porta ao mundo virtual, a Internet, um espaço ilimitado e à distância de um clique. Neste mundo incorpóreo, despimos a camisa de “pessoa” e vestimos o fato de “internauta”, um ávido explorador, que navega pelos infindáveis caminhos desta rede.
O real e o virtual distinguem-se em vários aspetos e basta apelar ao senso comum para encontrar as vincadas diferenças. Contudo, aqui vamos recorrer a um exercício mental: apontar as semelhanças entre estes mundos que, na realidade, não são assim tão distintos quanto pensávamos.
Ora, como no mundo real, a maioria tem um cartão verde para aceder a espaços abertos ao público em geral. Porém, todos temos conhecimento da existência de espaços clandestinos, com raro acesso. O mesmo acontece na Web. O internauta é utilizador da Internet no seu todo, mas o hacker consegue aceder ao campo que é restrito à maioria dos internautas. A dark web é tendencialmente associada ao ilegal e este cenário costuma ser pintado como um ambiente onde a criminalidade aloja. Porém, os especialistas desta área tendem a discordar desta associação quando falamos de Ransomware.
Nelson Escravana, diretor da área de comunicações e de cibersegurança do INOV (Instituto de Engenharia de Sistemas e Computadores Inovação) considera que o processo de Ransomware é executado na Internet normal, na open web, por e-mail. Portanto, o cibercrime não ocorre apenas na dark web.
- MALWARE
Ao aceder à Internet, o atacante vai à procura de um malware, isto é, um sistema desenhado para se infiltrar em dispositivos e criar danos, que é “fácil de obter, porque existem várias distribuições de Ransomware disponíveis na Internet”, aponta o especialista Nelson Escravana.
“O que se encontra na dark web, por facilidade, é o tal malware para realizar estes ataques, mas também existem em muitos sites, porque é relativamente fácil construir este malware” esclarece, acrescentando que, “na dark web há uma grande proliferação deste malware e até serviços que permitem que o atacante na realidade não tenha que fazer muito mais que dizer quais os pontos de acesso das organizações que pretende atacar”.
- ENGENHARIA SOCIAL E PHISHING
O atacante já é detentor de um malware e agora resta escolher e estudar um alvo, os seus pontos fortes e fracos para depois se infiltrar nos dispositivos. Para tal, terá de recorrer à engenharia social, indica Pedro Adão, professor da área de engenharia informática do Instituto Superior Técnico, e manipular o utilizador para que ele disponibilize informações confidenciais. Uma técnica bastante utilizada neste caso e, portanto, será referida ao longo deste artigo, é phishing.
O professor Pedro Adão explica, “tipicamente o utilizador faz download para o seu computador de um programa malicioso e pode chegar via e-mail, sem ter pedido, mas alguém o convence de que é importante. O utilizador clica e isso automaticamente lança um programa que começa a cifrar os ficheiros que estão no disco e a apagá-los”.
A JOGADA INVISÍVEL: O ATAQUE SURPRESA
As peças do jogo estão montadas pelo atacante e agora só resta começar a jogar. Todos os atacantes têm o seu estilo e forma de executar o Ransomware, portanto não existe um modo exato e um procedimento linear de pedido de resgate. Mesmo assim, vamos ter em mente um considerado “típico modus operandi“, que geralmente é o mais utilizado.
De acordo com o relatório avançado pela empresa de segurança digital Syhunt Security, numa primeira fase, o hacker procura infetar um dispositivo com um malware. O vetor-chave de entrada do hacker é o e-mail de spam/phishing (67%).
Na maioria dos casos, os atacantes tendem a infetar os dispositivos através do “lixo eletrónico”, isto é, todo o género de e-mails que os colaboradores recebem sem solicitação, enviados em massa. A “carta” phishing entra em jogo para enganar o utilizador e garantir a entrada na organização.
São vários os vetores de entrada, mas o especialista em cibersegurança Nelson Escravana avisa que a maior ameaça está dentro da empresa. “Mais de 80% dos ciberataques têm uma componente humana importante na sua realização” e basta uma pessoa cair na armadilha para comprometer os dados da empresa.
“A empresa até pode ter sistemas de deteção de instrução que detetam quando a empresa está a ser atacada, mas se o utilizador recebe um e-mail e seguir as instruções, de repente expôs o computador da empresa.”, explica Escravana.
E sabe-se que 99% dos e-mails que distribuem malware requerem intervenção humana em algum momento, quer seja clicando num link, abrindo documentos ou aceitando avisos de segurança.
Assim, compreende-se que a falta de formação em segurança informática (36%) pode levar os colaboradores a ignorar os sinais de ataque e as práticas de segurança. Outro método de implantação de Ransomware é através de senhas fracas (30%).
Supomos que o hacker completa a primeira fase e já garantiu a sua entrada, a empresa Syhunt Security designa a segunda fase como “movimento lateral”. Isto porque, o atacante “já passou as barreiras de defesa externa, as firewalls e está dentro da rede de alimentação, na qual tenta comprometer todos os dispositivos acessíveis”, indica o especialista Nelson Escravana. Agora, o atacante procura roubar o máximo de informações possíveis.
A terceira fase, ou seja, o ataque-surpresa, resulta na criptografia ou cifração (dados convertidos num formato codificado). Neste caso, se a empresa tiver discos de backups (cópias de segurança) ligados ao computador, não é bom sinal, avisa o diretor de cibersegurança Nelson Escravana.
“O que acontece muito nas médias e pequenas empresas é que têm discos de backups ligados a computadores que estão infetados e acabam por ser cifrados, as empresas ficam sem os seus conteúdos”.
Tendo os dados cifrados, o hacker apresenta um pedido de resgate, no qual surge um endereço para um pagamento exigido em criptomoeda, tipicamente bitcoin. Está implementado o Ransomware.
O ataque é silencioso e impercetível. Agora o lesado terá de se debater com duas opções: ou paga o resgate sem ter quaisquer garantias que vai reaver os dados, ou não paga o regate e arrisca perder tudo.
O valor do pagamento do Ransomware aumentou em 82% no ano passado e sabe-se que o maior pedido de pagamento foi no valor de mais de 44 milhões de euros, à empresa Acer.
A pandemia terá ajudado a catapultar este ataque, porque os funcionários estavam ou ainda estão a trabalhar a partir de casa, ligados diretamente à rede das suas empresas e podem usar o mesmo computador para uso pessoal ou, ainda, distrair-se mais facilmente e clicar onde não é suposto. Prova disso é o relatório da empresa de cibersegurança norte-americana Purple Sec, que verificou que este contexto levou a um aumento de 600% do cibercrime. Já a Agência da União Europeia para a Cibersegurança registou um aumento de 150% nos ataques de Ransomware entre abril de 2020 e julho de 2021 e já caracteriza esta realidade como a “Era de Ouro do Ransomware”.
A JOGADA PREVISÍVEL: OS SINAIS
A jogada do atacante é frequentemente impercetível, as vítimas são apanhadas de surpresa quando um resgate é pedido, mas é possível descodificar os avanços do nosso adversário, basta estarmos atentos. Apesar de não conhecermos o atacante, há sinais e padrões que devemos ter em conta para prever a cartada final de Ransomware. A empresa informática RSI Security enumera cinco.
Como explicado anteriormente, na primeira fase de ataque o hacker pretende infiltrar-se num dispositivo. Para tal, precisa de explorar a rede da empresa e essa sondagem sobrecarrega-a. Neste sentido, os utilizadores tendem a queixar-se da morosidade da Internet.
Quando um utilizador se apercebe de alterações na extensão de documentos ou pastas é motivo de alarme. Por exemplo, se tiver um documento em formato PDF e, por sua vez, lhe atribuir o nome “Trabalho”, antes de aceder, consegue ver “Trabalho.pdf”. Ora, se de repente surgir uma extensão suspeita como “Trabalho.xxp”, é porque está a ser montado o Ransomware.
O terceiro sinal pode passar despercebido aos mais distraídos. Arquivos podem desaparecer durante um período de tempo. A natureza destes dados não é relevante e o número de ocultações não é em massa, para não levantar suspeitas. É preciso ter sempre em conta que o atacante age como um ninja e não pode comprometer a operação de Ransomware com movimentos notórios.
Por vezes, a jogada do atacante pode ocorrer mesmo quando os dados e informações críticas estão aparentemente seguros. Uma forma de garantir essa segurança é criptografar. Porém, uma aplicação incorreta deste processo pode prejudicar essa preservação e o hacker estará atento a isso. Se a empresa se aperceber de arquivos criptografados na rede dos quais não tem conhecimento, com extensões como .crytpes ou .cryptor, deve agir.
O último sinal é o mais óbvio e o mais letal: os atacantes enviam uma mensagem aos utilizadores para executar alguma ação. Se o teor da mensagem for suspeito, então o utilizador não deve aceder ou clicar, para que o hacker não acione o pedido de resgate.
A DEFESA É A MELHOR ARMA
Os lesados desta ação detém duas opções: ceder ou contra-atacar. Até agora, examinámos jogadas fortes e o atacante está prestes a fazer xeque-mate. Ganha este jogo quando receber o resgate que exigiu. E o lesado está “entre a espada e a parede”. Pagar o resgate parece ser a jogada mais fácil para reaver os dados que agora estão encriptados, mas as autoridades pedem explicitamente para as empresas não cederem a este cibercrime. Na maioria dos casos, as empresas não conseguem reaver e tal também não impossibilita que voltem a ser atacados, foi o que aconteceu com a empresa Acer. Nelson Escrava acrescenta que, além disso, quem pagar “estará a incentivar este tipo de crimes”.
Em primeiro lugar, deve ser apresentada uma queixa à Polícia Judiciária, para que dê início a uma investigação que permita, no melhor dos casos, determinar a origem do ataque ou recuperar a chave que cifra os dados. “A melhor forma é a proteção”, avisa o especialista Nelson Escravana, nomeadamente, ter cópias de segurança que não coloquem em perigo os dados, no fundo, esses backups não devem estar ligados ao computador.
É inevitável um ataque informático, “basta haver uma mutação nova ou um Ransomware novo para que o software não nos consiga proteger”. O professor Pedro Adão dá um exemplo: “é como o corpo humano, se aparecer uma mutação de um vírus que não conhecemos, pode ser que o nosso sistema não consiga reagir”.
Assim sendo, o melhor é prevenir tendo em conta a ciberhigiene, isto é, seguir as práticas recomendadas para melhorar a segurança informática enquanto os colaboradores desempenham atividades online. Neste aspeto, cabe às empresas formar e alertar os seus funcionários para as ameaças existentes.
XEQUE-MATE
Se a empresa for alvo de um Ransomware, ceder ao atacante está fora de questão, indicam os especialistas. Mesmo assim, a PurpleSec estima que 40% das vítimas pagam o resgate.
Um modelo começou a ganhar ímpeto nos últimos cinco anos, o ataque misto. Isto é, o atacante tem na sua posse todas as informações e dados e podem sempre expô-los ou leiloá-los, caso os lesados não paguem o resgate.
O grupo REvil avançou com este ataque em 2020, ameaçou publicar os dados do escritório de advocacia de celebridades Grubman Shire Meiselas & Sacks (GSMLaw) depois do resgate não ter sido pago. Atualmente circulam na dark web contratos, números de telefone, identificações de e-mail, correspondência pessoal com os advogados relacionados a vários casos arquivados, acordos de confidencialidade feitos com empresas de anúncios, entre outras informações. Posteriormente, o grupo de hackers criou um site de leilões, estilo eBay, chamado “Happy Blog”, para leiloar os dados e gerar uma receita de milhares de euros.
Nos EUA, a 7 de maio do ano passado, o Colonial Pipeline, um oleoduto que liga Houston a Texas, foi alvo de um ataque Ransomware. A maior rede nos EUA, com 8.850 quilómetros, transporta 45% combustível de aviação para a Costa Leste. Com o sistema parado devido ao ataque informático, a empresa viu-se obrigada a pagar o regaste de mais de 4 milhões de euros no próprio dia.
Contudo, o maior pedido de resgate em 2021 saiu da conta da grande empresa Acer, que sofre Ransomware duas vezes num prazo de meses. O primeiro ataque, liderado pelo grupo REvil, ocorreu em março e exigiram um resgate de mais de 44 milhões de euros. O grupo de hacker ainda delimitou um prazo para o pagamento e avisou que o montante do regate seria o dobro se a empresa de tecnologia recusar a exigência. O segundo Ransomware surgiu em outubro, pelas mãos do grupo Desorden.
OS JOGADORES E O MODUS OPERANDI
É importante ressalvar que o hacker nem sempre corresponde a um inimigo ou a uma definição criminosa. A designação pode criar alguma polémica junto dos entendidos, mas neste caso assumimos o atacante como hacker, no sentido em que um atacante que efetua o resgate é sempre hacker. Contudo, um hacker nem sempre é um atacante, isto se for regido pela ética e orientado pelos interesses públicos, aqui teríamos um hacker ético.
“A noção de hacker original é de alguém curioso demais para explorar os limites da tecnologia e isso não tem nada de maléfico” e “temos pessoas que trabalham na área da segurança, tentam explorar a vulnerabilidade de sistemas e programas e fazem-no para consciencializar e ajudar sistemas“, elucida o especialista em cibersegurança Nelson Escravana.
O professor Pedro Adão não considera que um hacker seja necessariamente um criminoso, mas quando associados a Ransomware, “não há como não ser uma atividade maliciosa”.
Questionado sobre os riscos que os cibercriminosos enfrentam na web, Nelson Escravana admite que estas organizações criminosas são extremamente sofisticadas, “pensadas para não serem facilmente detetadas”. No fundo são “ecossistemas extremamente especializados e evoluídos”.
“O cibercrime hoje em dia tem uma cadeia de valor, tal como temos cadeias de distribuição. Quem obtém credenciais para aceder a dados bancários, normalmente não realiza o crime de fraude bancária, obtém as credenciais e vende essas credenciais, depois há quem compre pacotes de credenciais, realiza esse crime, e transfira para determinadas contas onde existem as chamadas mulas que movimentam o dinheiro, mas quem opera esta rede de mulas também não é quem opera este crime”, esclarece o especialista em cibersegurança, Nelson Escravana.
Dentro da organização criminosa existem departamentos que se dedicam a determinadas atividades.
Estamos a falar de “obtenção de passwords, angariação de vítimas, angariação das chamadas mulas para transporte das reservas para fora do país onde o crime é cometido e normalmente, países onde a investigação é mais complexa, mesmo impossível”, acrescenta o especialista.
Neste jogo de Ransomware, o trabalho é feito em equipa e em 2021 foram registados mais de 30 grupos que exigem um Ransomware na dark web.
- REVIL DO LUXO À DESCOBERTA
REvil é um grande nome no mundo do cibercrime pelo modus operandi e pelos milhões que lucraram com o Ransomware. A Syhunt avança que o grupo sediado na Rússia roubou mais de 44 terabytes de informações e dados e somente no ano passado terá feito 144 vítimas.
Os membros deste grupo acabaram por ser detidos em janeiro deste ano na Rússia. As autoridades norte-americanas tinham emitido uma recompensa de perto de 8,8 milhões de euros para a detenção dos 14 elementos.
O Serviço Federal de Segurança da Rússia conseguiu apreender cerca de 5 milhões de euros em dinheiro, criptomoedas, computadores e 20 carros de luxo.
Ao longo de um ano, quase 35% das organizações vítimas da REvil pagaram o resgate exigido.
- LAPSUS$ GROUP EM ASCENSÃO
Um novo grupo de Ransomware encontra-se em ascensão desde dezembro do ano passado. O Lapsus$ Group alegou um roubo de 50 terabytes de dados do Ministério da Saúde brasileiro. Porém, essa aquisição massiva levantou algumas suspeitas e lembre-se que o grupo REvil conseguiu encriptar mais de 44 terabytes de 280 vítimas, em dois anos de operação.
O grupo ainda alegou um roubou astronómico de 10 petabytes de dados da operadora de telecomunicações Claro Brasil. Do Brasil, o grupo avançou para Portugal e iniciou os ataques a empresas de grande dimensão, como o grupo a IMPRESA, detentora da SIC e do jornal Expresso. Os sites foram “desfigurados” com uma mensagem de Ransomware, mas o ataque foi puramente destrutivo.
Uma outra particularidade do Lapsus$ Group é a utilização do canal público Telegram para anunciar novas vítimas.
FONTE: SIC NOTICIAS