Por que os ataques de ransomware continuam ativos?

O ataque do ransomware Lockbit 2.0, realizado em outubro do ano passado contra a Atento, gerou um impacto de mais de R$ 197 milhões para a empresa. O relatório financeiro de 2021 da companhia registra gastos de R$ 32 milhões em controle de danos e esforços de segurança e aponta que a interrupção nas atividades contribuiu com perda de receita de R$ 164 milhões. O relatório não indica o pagamento de resgate ao grupo de cibercriminosos por trás do ataque ransomware.

Não se trata de um caso isolado. O relatório “Como os executivos de empresas interpretam a ameaça do ransomware”, divulgado em maio pela Kaspersky, mostrou que em 78% das organizações brasileiras que já foram atacadas pelo malware, os líderes optariam por pagar o resgate caso enfrentassem novo ataque. Atualmente, o ransomware é uma importante ameaça e o estudo revela que 56% das empresas do país já foram atacadas. Além disso, o pagamento do resgate parece ser visto pelo alto escalão das organizações como uma forma confiável de resolver o problema.

Segundo o relatório, quase 68% dos entrevistados no Brasil afirmam que já pagaram pela liberação de documentos. As organizações que foram vítimas de ransomware estão mais propensas a desembolsar o resgate no caso de um novo ataque (88%) tanto que 41% dos líderes de organizações brasileiras  pagariam imediatamente o resgate para ter acesso aos dados criptografados — ou seja, para quase metade dos líderes, essa medida é a melhor solução.

Mas por que os ataques de ransomware continuam tão efetivos? O head de pesquisa de malware da Kaspersky para a América Latina, Fabio Assolini, explica que, assim como os ambientes de TI, também os ataques evoluíram, se tornando mais complexos e sofisticados. Ele lembra que os primeiros ataques deste tipo surgiram nos sistemas MS-DOS, antes mesmo da criação do Windows.

“Ele tem esse alcance até hoje porque evoluiu muito, adotando novas técnicas. Quando comparamos os ataques de hoje com as primeiras famílias, vemos que eles mudaram muito, evoluíram muito. A única similaridade é o fato de cifrarem arquivos usando algoritmos altos. O resto tudo mudou”, diz. Além disso, a evolução da TI com computação em nuvem e trabalho remoto, por exemplo, também criaram novas portas de entrada, exigindo das empresas a adoção de proteções cada vez melhores.

Para Assolini, esse é apenas um dos fatores que justifica o crescimento deste tipo de ataque. Outro fator importante seria a profissionalização dos grupos de ataque, que funcionam hoje como empresas (Imagem 1). Esses grupos contam hoje com diferentes membros, cada um com um papel distinto: há os desenvolvedores, que criam o ransomware; há os botmasters, que provêm o acesso inicial; e há os hackers, que compram esse acesso.

O botmaster é o responsável por invadir e colocar backdoors no maior número possível de sistemas, para depois vende-los. Quem faz a invasão de fato é o chamado Red Team, responsável por se movimentar dentro da rede invadida até encontrar o servidor. Depois de analisar os dados, ele os copia, em um processo chamado exfiltração, baixando o maior volume possível de dados. Estes são enviados aos analistas, que vão definir o quanto pedir de resgate com base nas informações da empresa existentes ali. Depois que o pagamento é feito, é o operador financeiro que fará a lavagem e o distribuirá para todo o grupo.

Assolini cita com um exemplo um ataque recente sofrido por um laboratório de pesquisas da União Europeia. Um funcionário baixou a versão de teste de um software e a “craqueou” para que pudesse continuar utilizando. Naquele momento, o antivírus alertou a existência de um software malicioso no crack. “Ali havia uma backdoor e, duas semanas depois, o laboratório sofreu um ataque”, conta.

Técnicas de ataque

A evolução das técnicas de ataque é outro fator fundamental para a permanência dos ataques de ransomware. Atualmente, elas permitem que novas vulnerabilidades em sistemas sejam identificadas em horas pelos criminosos, enquanto as empresas levam mais tempo para instalar as correções disponibilizadas pelos fabricantes. “Esse tempo é a janela de oportunidade do criminoso”, alerta Assolini.

E esse, segundo o executivo, não é o pior problema. Ele lembra que alguns dos piores ataques registrados têm se utilizado de uma técnica chamada Advanced Persistent Threat (APT), criada por agências governamentais ou grupos contratados por governos e que, até pouco tempo, representavam cerca de 0,1% dos malwares direcionados. Hoje, existem vulnerabilidades e falhas críticas em softwares bastante comuns e que são usadas primeiro por grupos de ATP e, depois, por outros grupos.

“Isso ocorre porque existe todo um mercado de venda destas vulnerabilidades. Há empresas que as vendem no mercado negro e tem entre seus clientes os grupos de ransomware”, diz. Muitos destes ataques são realizados a partir das chamadas “ferramentas cinzas”, ou aquelas utilizadas por administradores, no que se chama de fogo amigo, já que muitas soluções de segurança não as bloqueiam ou detectam.

Para Assolini, estes fatores explicam o sucesso destes grupos criminosos: eles trabalham de forma industrial, se valem de vulnerabilidades e usam as ferramentas cinzas. No trabalho industrial, é bom incluir também a existência do chamado Ransomware as a Service, oferecido a estes grupos por um valor mensal que pode variar de US$ 120 a US$ 1.900, dependendo dos serviços disponíveis.

Muito deste trabalho foi sentido no mercado brasileiro durante a pandemia, quando os ataques cresceram consideravelmente. No momento, eles estão caindo em volume, mas estão se tornando mais cirúrgicos. “Quando estourou a pandemia, os criminosos atiravam para todos os lados numa tentativa de atingir quem estava trabalhando em casa. Agora eles são mais seletivos: entram na rede, escolhem a vítima, ficam um tempo explorando. Depois que veem que vale a pena, estouram a bomba. No geral os ataques estão caindo em quantidade, mas são mais complexos e, quando completos, trazem o maior dano possível”, explica.

Preparando defesas

Muitos dos danos trazidos por estes ataques acontecem porque as empresas não entendem o modo de operação destas organizações criminosas e, para preparar as defesas, é preciso entender o método de ataque. “Hoje, para entender e desenvolver uma abordagem de segurança, é preciso entender todos os meandros técnicos do ataque e isso é trabalhoso”, afirma Assolini.

Embora não exista um receita que atenda todas as empresas, há algumas iniciativas que todas podem tomar para contar com proteção e, principalmente, com um plano de recuperação que cause o menor impacto possível em sua estrutura. A primeira delas é contar com um backup, o que se torna mais desafiador quanto maior for a infraestrutura da empresa e o volume de dados a ser replicado.

A segunda iniciativa é contar com uma gestão de acesso efetiva. Assolini ressalta que, para proteger, é preciso controlar e isso só é possível se a empresa souber quem está acessando seus sistemas. “E isso precisa ser muito bem feito. É preciso pensar e controlar os acessos. Se as empresas olhassem isso, se dariam conta que um funcionário da área financeira não precisa acessar o servidor de arquivo dele às 3 da manhã, por exemplo”, provoca.

As iniciativas preventivas incluem ainda uma boa gestão das atualizações de software; a atualização contínua do inventário dos ativos; e a realização constante de auditoria. Tudo isso permeado por treinamentos. “O pessoal interno de segurança precisa saber identificar os primeiros sinais de que algo está estranho, de que houve tentativa”, explica, lembrando que também é preciso testar soluções de segurança para checar se elas estão verificando vulnerabilidades como as ferramentas cinzas, por exemplo.

Outro ponto importante é lembrar que somente soluções de antivírus não barram ataques de ransomware. Com a expansão dos limites das empresas para além de seus espaços físicos, é preciso adotar soluções que analisem também o comportamento dos acessos. “Tudo isso precisa ser discutido, colocado em uma estratégia e implementado”, diz, lembrando que com uma boa estratégia é possível chegar próximo à máxima proteção possível.

Mas isso não ocorre sem desafios. Muitas vezes uma boa estratégia não é implementada porque segurança e facilidade de uso não andam juntas. “Quando você adota as proteções necessárias, isso causa desconforto. Um bom administrador de rede não vai permitir que as pessoas instalem software. As exceções abrem portas, daí a necessidade de campanhas de conscientização: as pessoas precisam de treinamentos para entender os ataques e mostrar para a direção o quanto é danoso ser vítima de um ataque destes”, adverte.

(Imagem 1)