*Por Augusto Mesquita
O ano de 2017 foi quando a palavra ransomware ganhou notoriedade graças à sua variante mais conhecida, o WannaCry, crypto-ransomware que afeta o sistema operativo Microsoft Windows. A sua difusão a larga escala iniciou-se em 12 de maio de 2017 infectando mais de 230 mil sistemas. De lá para cá essa modalidade de ataque vem ganhando força e alcançando em 2021 o seu auge, popular e temida ameaça cibernética da atualidade. Mas, e para o futuro próximo, o que podemos esperar e como podemos nos precaver desta ameaça? Para planejar as contramedidas vamos de maneira breve entender como esta ferramenta criminosa funciona e como evoluiu até aqui.
A maneira típica como um ransomware funcionou até então consistia em comprometer um alvo (um sistema de dados), encriptar os dados e, então, solicitar um resgate, geralmente em criptomoedas. Este método ganhou força e praticidade para os criminosos atacantes com advento das moedas digitais, que facilitam a transação ao mesmo tempo que dificultam o rastreamento e a descoberta do criminoso. Por fim, os mecanismos psicológicos por trás da modalidade fizeram dela rentável como poucas. Medo da perda definitiva dos dados, incerteza sobre como agir e dúvida sobre a capacidade real de se recuperar os dados são, sem sombra de dúvidas, fortes agentes motivacionais.
Então, o que se via inicialmente era muitas empresas optando pelo pagamento e, caso pudesse recuperar os dados salvos em backup, seguindo por este caminho. Essa foi a base por um curto período, mas infelizmente a evolução nefasta do ransomware não parou por aí.
O digital traz facilidades e inovações por onde passa, e não poderia ser diferente com o crime, turbinando-o exponencialmente. Se o sequestro dos dados não era ruim o bastante, agora tornou-se comum observar casos em que o criminoso cobra o resgate mais de uma vez. Afinal, por que não? Uma vez estando com os sistemas comprometidos, passamos a ter esta que é conhecida como extorsão dupla. Resumindo: não há criminoso “honesto” que possa honrar com a sua palavra.
A criatividade para o mal tem fonte infinita.
Em muitos casos em que a empresa possui a capacidade de restaurar o ambiente por meio de backups locais ou em nuvem, os criminosos cibernéticos valem-se da sensibilidade e importância dos dados para as empresas para forçar o pagamento, sob pena de divulgação dos dados criptografados que foram copiados enquanto o sistema encontrava-se comprometido. Com isto, a simples disponibilidade de backups e facilidade de recuperação do sistema tornam-se inúteis em tais contextos em que os danos do vazamento e da exposição dos dados podem ser mais devastadores do que a perda dos dados por si só.
Ransomware 2.0 e RaaS – Ransomware as a Service: muito além do sequestro de dados
O crescimento em funcionalidades e meios de extorsão fez com que fosse criada a expressão Ransomware 2.0 para rotular essa nova geração de ameaças que permite ao criminoso inúmeras maneiras de ser monetizado. Agora, não apenas pedem resgate, mas extorquem com a ameaça de divulgação de dados, atacam com o envio de comunicação para os clientes, vendem os dados para outros grupos criminosos ou organizações, mesmo depois de terem recebido o valor exigido pelo resgate.
Com tanta versatilidade, passamos a assistir ao surgimento de novos negócios no universo do crime, como o RaaS, ou Ransomware as a Service. Neste modelo, os ‘afiliados’ apenas pagam por uma subscrição ou percentual sobre resultados dos ataques bem-sucedidos para ter acesso à ferramenta, minimizando a quantidade de código necessária para se conduzir um cyber ataque sofisticado. Esta é uma séria ameaça em potencial uma vez que, agora, qualquer criminoso com conhecimento em tecnologia é capaz de atuar como agente especializado na execução da atividade criminosa, contando com o custo de ataques menores e a facilidade de transação proporcionada pelo cripto mercado.
E é neste contexto que entramos em 2022. Enquanto governos e organizações representativas da sociedade discutem para encontrar uma solução que possa mitigar o problema, como a criminalização do pagamento aos ataques, ou o cerco às transações em moedas digitais não reguladas e não monitoradas, ou o combate à lavagem de dinheiro, muito pouco pode-se dizer de positivo sobre a efetividade de se adotar tais medidas.
Notório é que a quantidade de brechas abertas para a entrada desses ataques pode e precisa ser diminuída – melhor: eliminada. Mais uma vez devemos chamar a atenção para o uso de equipamentos conectados à rede que não estão recebendo suporte ou atualizações apropriados. Dispositivos IoT em modo geral, pontos de acesso, repetidores Wi-Fi, câmeras IP, dispositivos inteligentes, entre outros, possuem pouco ou quase nenhum suporte ou viabilidade para suportar atualizações pesadas de segurança ao mesmo tempo que ganham terreno e espaço dentro das empresas. O trabalho no modelo home office é um outro assunto que merece a atenção à medida que o colaborador conecta a sua rede particular à rede corporativa, ligando e expondo estes dois ambientes entre si.
Enquanto a ameaça Ransomware – e outras tantas – continua à solta e vigorosa como nunca, em 2022 vale as recomendações e práticas obrigatórios do profissional que deseja fazer sua parte ao diminuir o risco de um ataque ransomware, sendo elas:
– A educação e treinamento constante sobre os temas de segurança para todos os níveis da organização;
– Controlar e limitar acessos de forma detalhada e precisa ;
– Mapeamento constante do ambiente em nível de hardware e software;
– Ter um plano de resposta a incidentes de segurança;
– Fazer o gerenciamento sistemático de patches, atualização e vulnerabilidades dos ativos.
Uma vez que a porta de entrada para estes criminosos continua sendo a mesma conhecida, prevenir-se no contexto atual e no futuro próximo, ainda não requer nenhuma fórmula mágica ou nada de muito novo. Nos remete a continuar atacando as vulnerabilidades, sistemas desatualizados, phishing, malwares, e ganho de privilégio em sistemas críticos e configurações ruins na nossa rede.
*Augusto Mesquita é Technical Head da ACSoftware
