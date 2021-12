Um crime tem se tornado frequente em Salvador e revela a fragilidade dos mecanismos de Segurança da Informação adotados por empresas de diversos setores. Nos últimos seis meses, a BRDefender foi procurada por alguns gestores de empresas sediadas, inclusive, no centro comercial da cidade que sofreram ransomware, um ataque que consiste em bloquear o acesso aos arquivos da vítima (inclusive .doc, .xls e .pdf) e só liberá-lo após o pagamento de resgate.

A prática criminosa geralmente acontece após o atacante infectar o computador do alvo com um software malicioso. Ele, então, criptografa os arquivos e exige o pagamento do resgate para fornecer a chave de descriptografia. As formas de infecção podem ser as mais variadas possíveis, seja através de engenharia social via e-mail ou até um pen-drive infectado.

Fomos acionados algumas vezes nos últimos meses por empresas que sofreram este tipo de ataque, desde instituições pequenas, com poucos funcionários, até empresas com mais de 300 colaboradores. Em todas elas, a versão do ransomware encontrada foi diferente, o que revela a existência de uma grande variedade de tipos circulando nas redes. Em um dos casos que tratamos, pudemos identificar que a origem da infecção veio através de um e-mail de phishing com um link para um site malicioso. O usuário clicou e, sem querer, baixou o malware que infectou sua máquina e rapidamente invadiu os demais computadores na rede.

Em outro episódio, o malware infectou o servidor de arquivos da empresa e na tentativa de recuperar os dados, o responsável pela Tecnologia da Informação (TI), sem entender do que estava se passando, conectou o único HD com o backup dos dados no equipamento infectado. O resultado foi que o malware infectou também o backup, tornando impossível recuperar as informações. E em casos como este, o dano pode ser muito grande.

A gravidade desse tipo de crime está no fato de que, após os arquivos serem criptografados, não existe como reverter, a não ser recebendo a chave mediante o pagamento do resgate. Já presenciamos casos de clientes em que a comunicação com o atacante foi rápida e após o pagamento do valor exigido, a chave foi liberada. Mas, também tivemos experiências em que não conseguimos pagar, pois o e-mail informado não recebia mais mensagens. Neste caso, a empresa perdeu suas informações.

Neste tipo de ataque fica evidente que se trata de um golpe, pois o “modus operandi” é semelhante: ao tentar abrir qualquer arquivo, uma mensagem irá aparecer na tela informando que você foi vítima de um ataque e que precisará pagar um valor de resgate para ter seus dados de volta. Então, o que fazer quando uma mensagem dessas surge na tela do PC de sua empresa?

Diria que a primeira ação, após identificar que está sendo vítima de um ataque como este, é a contenção do ataque, com o objetivo de minimizar os danos. Priorizaria isolar os equipamentos já afetados dos demais equipamentos e, na sequência, entender do que se trata, e de preferência, acione um especialista na área de segurança da informação.

Quando somos chamados para tratar um incidente deste tipo, pergunto à empresa atacada qual o dano que o bloqueio ao acesso aos arquivos está causando e se existe um backup atualizado das informações. Com base nessas respostas podemos tomar a decisão de pagar o resgate ou tentar recuperar os dados do backup.

O fato é que as empresas são vítimas porque não planejaram sua segurança de forma correta ou tiveram algum de seus controles de segurança sobrepujados. O ideal é que as instituições pensem em como se prevenir, conscientizem os funcionários sobre os riscos, adotem rotinas de backup, utilizem antivirus e anti malwares, e respeitem Políticas de Segurança da Informação. Não adianta apenas pagar o resgate e sanar aquele episódio de crise. É fundamental planejar a segurança para que este problema não ocorra mais e posso dizer também que poucas foram as empresas que mesmo após sofrerem ataques como este, realmente, investiram na segurança da forma adequada.

Devemos abordar ainda uma questão que permeia a proliferação desse tipo de ataque, que consiste na dificuldade de chegar ao criminoso. A polícia, através dos peritos, tem como tentar rastrear a origem dos ataques, mas chegar até o criminoso de fato é muito complicado, pois o atacante tentará encobrir seus rastros utilizando servidores localizados em países diferentes.

Outra forma de dificultar o “trabalho” da polícia é o uso do bitcoin no pagamento desses resgates de dados, uma moeda virtual cada dia mais adotada, já aceita por diversos sites e empresas no mundo. Os atacantes preferem utilizar os pagamentos via bitcoin porque é como se ele fosse feito da forma mais tradicional, quando a pessoa entrega o dinheiro (papel) nas mãos de outra, sem intermediários bancários. Então, ao utilizar o pagamento em bitcoin você pode pagar/receber dinheiro de qualquer lugar do mundo diretamente em sua wallet (carteira).

E atenção! O risco não está apenas nos computadores do escritório, mas está em nossas mãos e o levamos para as nossas casas. O smartphone hoje em dia faz parte da nossa lista de dispositivos usuais e costumamos salvar informações valiosas nestes dispositivos. Então, ele pode ser considerado sim um vetor de entrada para esses ataques. As redes sociais demandam uma atenção especial dos usuários, pois são um meio utilizado pelos atacantes para fazer a engenharia social e induzir as vítimas a clicarem em links maliciosos e instalarem os malwares.

