Em março de 2018, Atlanta foi atingida por um ataque de ransomware que infectou cerca de 3.800 computadores do governo pertencentes à cidade de Atlanta, incluindo servidores. Depois que o vírus foi implantado, o ransomware essencialmente bloqueou todos os computadores infectados, tornando-os impossíveis de acessar. O sistema judiciário de Atlanta caiu; a polícia não conseguiu verificar as placas; os residentes não podiam pagar as contas online.
Apenas três semanas antes de Atlanta ser atingida, a pequena cidade de Leeds, Alabama , também sofreu um ataque cibernético idêntico. E antes de Leeds, em janeiro, era o Hospital Regional de Hancock, nos subúrbios de Indianápolis.
O que esses três ataques têm em comum é que todos foram atingidos pelo ransomware SamSam , também conhecido como MSIL / Samas.A. Cada ataque exigia aproximadamente a mesma quantia - cerca de US $ 50.000 em criptomoedas . Hancock Regional Hospital e Leeds, Alabama, pagaram o resgate. No entanto, a cidade de Atlanta não o fez. Em vez disso, optou por pagar milhões para colocar seus sistemas novamente online.
Naquela época, a cidade de Atlanta era uma das que mais se destacava a ser atacada por ransomware, que segundo John Hulquist, é quando um cibercriminoso acessa uma rede de computadores, criptografa todos os dados e extorta a empresa para desbloqueá-la. Hulquist é vice-presidente de análise da Mandiant Threat Intelligence da FireEye , uma empresa de segurança liderada por inteligência.
Ransomware não é nada novo
Hulquist diz que os ataques de ransomware, que essencialmente mantêm a rede de uma empresa "refém" até que o resgate exigido seja pago, não são novidade. Eles vêm acontecendo há vários anos (como esses três casos indicam).
No primeiro semestre de 2021, o número de organizações impactadas por ransomware em todo o mundo mais do que dobrou em comparação com 2020, de acordo com uma pesquisa da Check Point Software Technologies. O relatório Mandiant M-Trends 2021 da FireEye também identificou mais de 800 tentativas de extorsão que provavelmente tiveram dados roubados. Esses números são baseados nas investigações da Mandiant sobre atividades de ataque direcionado conduzidas de 1º de outubro de 2019 a 30 de setembro de 2020.
Os alvos agora estão se tornando muito mais conhecidos. Só nos Estados Unidos desde abril, empresas importantes como Colonial Pipeline , JBS Foods , NBA e Cox Media Group foram atingidas.
Os hackers geralmente acessam as redes por meio de ataques de phishing , que são e-mails enviados a funcionários que os induzem a fornecer senhas ou clicar em links maliciosos que farão o download do malware na rede da empresa. O ransomware também procura outras entradas nas redes da empresa por meio de senhas que são facilmente quebradas, como 123qwe, por exemplo.
Por que tantos e por que agora?
Hulquist explica assim: Originalmente, o ransomware era principalmente automatizado e tinha como alvo sistemas pequenos. Ele chama isso de "borrifar e orar".
“O ransomware sairia e atingiria qualquer sistema que conseguisse”, explica ele. Ele procurou por senhas vulneráveis, redes abertas, entradas fáceis. "[Os invasores] eram conhecidos por serem bastante amigáveis; eles desbloqueiam os dados - até mesmo oferecem descontos às vezes - e seguem em frente com suas vidas." Bitcoin, diz ele, ofereceu uma boa plataforma para transferir esse dinheiro. Isso é exatamente o que aconteceu em Leeds. Os atacantes exigiram $ 60.000; a cidade pagou $ 8.000 .
Mas então as coisas mudaram, diz Hulquist. O ransomware passou de "pulverizar e orar" automatizado a grandes ataques direcionados a empresas maiores com mais dinheiro. E os resgates dispararam. Em 2020, as empresas pagaram mais de US $ 406 milhões em criptomoedas como resgate aos atacantes, de acordo com o último relatório da Chainanalysis , que analisa blockchain e criptomoedas.
“Esses novos alvos têm que pagar porque geralmente são uma infraestrutura crítica”, diz Hulquist. "Eles precisam ficar online novamente. Os consumidores são na verdade um fator, porque estão forçando essas empresas a tomar decisões precipitadas quanto ao pagamento."
Pagar ou não pagar?
Esse foi o caso no ataque do Oleoduto Colonial. O hack derrubou o maior oleoduto de combustível dos Estados Unidos em 29 de abril e gerou um grande acúmulo de combustível na Costa Leste. O CEO da Colonial Pipeline, Joseph Blount, disse ao The Wall Street Journal que a empresa pagou o resgate - $ 4,4 milhões em bitcoin - para colocar o pipeline novamente online. Mas a chave de descriptografia fornecida pelos adversários não restaurou imediatamente todos os sistemas do pipeline.
E esse é apenas um dos problemas com o pagamento do resgate. A outra grande questão é se o pagamento de resgates apenas incentiva mais problemas. "Acho que pagar resgates claramente leva a ataques mais direcionados", diz Hulquist, "mas se você é uma empresa em uma situação impossível, precisa fazer a coisa certa por sua organização."
A boa notícia para o Colonial é que o Departamento de Justiça dos EUA anunciou em 7 de junho que recuperou 63,7 bitcoins, avaliados em cerca de US $ 2,3 milhões pagos pela Colonial a seus hackers. “A ação do Departamento de Justiça para recuperar os pagamentos de resgate das operadoras que interromperam a infraestrutura crítica dos EUA é um desenvolvimento bem-vindo”, disse Hulquist. "Ficou claro que precisamos usar várias ferramentas para conter a maré deste grave problema."
É claro que não pagar o resgate pode ser igualmente problemático. “Algumas dessas empresas não querem pagar, então as forçam a pagar vazando seus dados publicamente”, diz Hulquist. "Essa é uma proposta da qual muitas organizações não querem participar." E-mails vazados e outras informações proprietárias, diz ele, podem ser muito mais prejudiciais para algumas empresas do que simplesmente pagar. Isso pode colocá-los em apuros jurídicos ou acabar prejudicando sua marca.
Outros hackers simplesmente exigem pagamento, mesmo sem instalar ransomware . Foi o que aconteceu durante o ataque aos Houston Rockets em abril. Nenhum ransomware foi instalado na rede da equipe da NBA, mas o grupo de hackers Babuk ameaçou publicar contratos e acordos de sigilo que afirma ter roubado do sistema da equipe se não pagasse.
O que o governo está fazendo?
Hulquist diz que o governo pode fazer muito mais. “Já faz um tempo que sabemos que esse problema está crescendo e eles estão finalmente levando isso a sério e aumentando seus esforços”, diz ele.
Ele, é claro, está se referindo a várias novas iniciativas estabelecidas pelo governo Biden em resposta ao aumento de ataques de ransomware. Em 12 de maio, o presidente Biden assinou uma ordem executiva destinada a melhorar a segurança cibernética nas redes do governo federal. Entre suas ações executivas, estabelecerá um Conselho de Revisão de Segurança Cibernética, modelado de acordo com o National Transportation Safety Board (NTSB). O painel provavelmente incluirá especialistas públicos e privados que examinarão incidentes cibernéticos de maneira semelhante à forma como o NTSB investiga acidentes.
Anne Neuberger, assistente adjunto de Biden e consultor adjunto de segurança nacional para tecnologia cibernética e emergente, também divulgou uma carta aberta em 2 de junho dirigida a "Executivos Corporativos e Líderes Empresariais".
Nele, ela diz que o setor privado tem a responsabilidade de proteger contra ameaças cibernéticas e que as organizações "devem reconhecer que nenhuma empresa está segura de ser alvo de ransomware, independentemente do tamanho ou localização ... Nós o incentivamos a levar o crime de ransomware a sério e garantir suas defesas cibernéticas corporativas correspondem à ameaça. "
Como Proteger Sua Empresa
O que você pode fazer para garantir que sua rede esteja segura? A Cibersegurança e a Agência de Segurança da Informação (CISA) e o FBI divulgaram em 11 de maio as melhores práticas para evitar a interrupção dos negócios por causa de ataques de ransomware. Nele, eles listam seis mitigações que as empresas podem fazer agora para reduzir o risco de serem comprometidas por ransomware:
- Requer autenticação multifator para acesso remoto à tecnologia operacional (OT) e redes de TI.
- Habilite filtros de spam fortes para evitar que e-mails de phishing cheguem aos usuários finais. Filtre e-mails contendo arquivos executáveis para que não cheguem aos usuários finais.
- Implemente um programa de treinamento de usuário e ataques simulados para spearphishing para desencorajar os usuários de visitar sites maliciosos ou abrir anexos maliciosos e reforçar as respostas apropriadas do usuário aos emails de spearphishing.
- Filtre o tráfego de rede para proibir as comunicações de entrada e saída com endereços IP maliciosos conhecidos. Evite que usuários acessem sites maliciosos implementando listas de bloqueio de URL e / ou listas de permissão.
- Atualizar software, incluindo sistemas operacionais, aplicativos e firmware em ativos de rede de TI, em tempo hábil. Considere o uso de um sistema de gerenciamento de patch centralizado; use uma estratégia de avaliação baseada em risco para determinar quais ativos de rede OT e zonas devem participar do programa de gerenciamento de patch.
- Limite o acesso a recursos em redes, especialmente restringindo o protocolo de área de trabalho remota (RDP), que é um protocolo de comunicação de rede seguro para gerenciamento remoto. Depois de avaliar os riscos, se o RDP for considerado operacionalmente necessário, restrinja as fontes de origem e exija autenticação multifator.
Hulquist diz toda a propósito do jogo agora é acertar um grande alvo que é provável que pagar - e que tem que pagar. E colocar a infraestrutura crítica offline não está fora de questão. Isso, diz ele, os EUA não estão preparados.
“Nossa sofisticação é o nosso calcanhar de Aquiles neste espaço”, afirma. "Isso nos torna mais vulneráveis a incidentes. Uma das lições que devemos tirar de tudo isso é que não estamos preparados para a guerra cibernética. Sabemos que eles têm como alvo os cuidados de saúde e outras capacidades críticas. Todos estão aprendendo com isso. "
Agora isso é loucura
Então, quem está por trás de todos esses ataques de ransomware? Lembra do SamSam, o ransomware que derrubou Atlanta? Em 2018, um grande júri indiciou dois iranianos que estavam nele pelo dinheiro. Três outros ransomwares - NETWALKER, REvil e Darkside - são conhecidos como RaaS (Ransomware-as-a-Service), o que significa que eles oferecem a qualquer um que espalhe seu malware de 10 a 25 por cento do pagamento. Dizem que Darkside está por trás do ataque do Oleoduto Colonial. Essas operações parecem estar baseadas na Rússia.
