Milícias digitais expandem ganhos e quebram paradigmas da segurança como conhecemos

A dinâmica e velocidade dos incidentes recentes atingiram desde grandes empresas como a Colonial Pipeline nos EUA (com resgate pago de US$ 4,4 milhões), a empresa de seguros americana CNA Financial (resgate pago de US$ 40 milhões) até pequenos comércios na Nova Zelândia e mercearias na Suécia. Os resgates médios estão numa espiral ascendente, entre US$ 5 milhões a US$ 45 milhões, tornando estes grupos extremamente rentáveis, o que naturalmente incentiva a rápida propagação de novos.

A relação custo x benefício está neste momento favorável a eles e a expansão na adoção das criptomoedas, um instrumento acelerador pela anonimato que permitem, eliminando o potencial rastreamento pelo sistema bancário da movimentação destes recursos pelas estruturas das forças policiais e demais possibilidades investigativas.

No final de semana do feriado nacional de 4 de julho, mais precisamente na tarde de 2 de julho a empresa de software para gerenciamento de recursos de tecnologia, Kaseya foi forcada a pagar o maior resgate até o momento no valor de US$ 70 milhões. Na noite de 7 de julho, o CEO Fred Voccola afirmou num vídeo pessoal aos seus clientes ter sido sua decisão mais difícil, a de não autorizar a disponibilidade online da ferramenta na manhã seguinte, visando limitar a propagação do ataque que afetou cerca de 1.500 clientes do total de 36 mil, entre eles hospitais usuários do software VSA que potencialmente trariam risco a vidas humanas em diversos procedimentos que ficaram inoperantes durante o ataque.

No Brasil tivemos impacto similar, neste caso diretamente contra um dos mais conhecidos laboratórios de exames, impactando resultados associados a tratamentos e situações pré-operatórias, num efeito cascata com os hospitais, novamente colocando em risco potencial vidas humanas além da JBS nos EUA, maior produtora mundial de carnes tendo pago US$ 11 milhões de resgate.

A fortíssima digitalização que estamos vivendo, indiretamente provocada pelo Covid-19, gerou um forte realinhamento das empresas e acelerou a migração das aplicações para ambientes em nuvem para acompanhar as necessidades de negócios. O racional de redução de custos está bastante óbvio pela dificuldade de ter recursos capacitados nas empresas além dos custos indiretos com equipamentos, rede e demais ativos de infraestrutura necessários para operar na velocidade e dinamismo impostos pelos negócios.

Temos então um cenário contraditório, nunca antes na economia moderna houve tantas empresas de produtos e serviços dedicados a oferecer segurança cibernética ao mercado, aportes e fusões milionárias dos bancos de investimentos no setor de defesa digital e ao mesmo tempo sucessivas e bem-sucedidas campanhas de atores criminosos.

O paradigma da segurança estática baseado nos conceitos de defesa de perímetros está claramente superado. Centenas de produtos se tornaram ineficazes ou até mesmo irrelevantes para deter estas técnicas de ataques em função da rápida mudança de paradigma que estamos presenciando. A adoção de ambientes de nuvem praticamente transformou as organizações e parte da própria internet pública.

É, portanto, imprescindível que CEOs, CIOs e CISOs tenham a agilidade e flexibilidade necessárias para readequarem rapidamente seus orçamentos e prioridades de projetos para adaptarem-se a esta nova realidade e não se tornarem as próximas vítimas. A revisão ou evolução do paradigma da segurança cibernética passa pela mudança para uma definição de “dentro-para-fora” da organização ao invés da concepção original “de-fora-para-dentro”.

Uma analogia poderia ser feita com os bombardeios dos tempos de guerras. Quando as sirenes tocam o que as famílias fazem? Correm rapidamente para seus abrigos subterrâneos. Buscam proteger seus ativos mais valiosos, manterem-se alimentadas e seguras durante o período dos bombardeios.

Como então no ambiente digital as organizações poderiam proteger suas aplicações mais críticas sem saber quais são? Onde estão? Quais dependências e conexões existem entre elas? Quais usuários têm acesso às mesmas? Qual rota ou irradiação de uma penetração por aplicação menos crítica até aquelas imprescindíveis aos negócios? Como isolá-las das rotas de ataque mantendo a organização operacional e menos vulnerável às milícias, numa espécie de “bunker digital”.

As milícias são pacientes e meticulosas. No planejamento destas campanhas invadem as empresas, tempo médio incide em torno de 200 dias, até chegarem as aplicações mais críticas para então ativarem os códigos maliciosos. Na manhã de 13 de julho o grupo REvil (associado ao ataque a Kaseya) simplesmente desapareceu do mundo digital com o IP ativo com que operava. Irá certamente retornar numa dinâmica constante da luta entre as mentes mais capacitadas na guerra digital, da qual não há mais como ignorá-la.

*Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management