Ataques de ransomware estão cada vez mais frequentes
Longe dos holofotes, ataques em que dados são “sequestrados” em troca de resgate têm feito cada vez mais vítimas
Milhões de pessoas ao redor do mundo estão enfrentando o transtorno de chegarem em consultas médicas, farmácias e serviços públicos apenas para ouvir que os “sistemas estão fora do ar”. Com cada vez mais frequência, os culpados são quadrilhas de hackers operando do outro lado do mundo, exigindo pagamento pelo acesso ao sistema ou pela devolução segura de dados roubados.
Apesar do aumento da repressão policial contra crimes cibernéticos e de governos e grandes corporações ao redor do mundo terem modificado suas políticas de segurança digital, a epidemia de ransomware não dá sinais de desaceleração em 2024, e especialistas temem que ela possa em breve entrar em uma fase mais violenta.
O ransomware pode ser o crime cibernético que definiu a última década, com criminosos visando uma ampla gama de vítimas, incluindo hospitais, escolas e governos. Os invasores criptografam dados críticos, paralisando a operação da vítima, e então a extorquem com a ameaça de divulgar informações confidenciais ou apagar os dados.
Nos últimos anos, esses ataques tiveram sérias consequências. Em 2021, a Colonial Pipeline Company foi alvo de ransomware, forçando a empresa a interromper o fornecimento de combustível e levando o governo dos EUA a implementar medidas emergenciais para atender à demanda.
Os ataques de ransomware têm se tornado um evento diário em todo o mundo e muitos deles não chegam às manchetes. No começo de junho, hospitais no Reino Unido precisaram paralisar transfusões de sangue após o grupo hacker Qilin, com origem na Rússia, usar um ransomware contra a Synnovis, empresa que presta serviços de patologia para hospitais públicos dos país.
Há um problema de visibilidade. A maioria das organizações não os divulga ou relata incidentes do tipo e isso torna difícil avaliar a tendência. Pesquisadores são obrigados a confiar em informações de instituições públicas que divulgam ataques, ou mesmo dos próprios criminosos.
Tudo indica que o problema não vai desaparecer e pode até estar se acelerando em 2024. De acordo com um relatório recente da empresa de segurança Mandiant, subsidiária do Google, 2023 foi um ano recorde para ransomware. Relatórios indicam que as vítimas pagaram mais de US$ 1 bilhão a gangues - e esses são apenas os pagamentos tornados públicos. No Brasil, 83% das companhias que sofreram ataques hackers em 2023 pagaram resgates, segundo dados da empresa de softwares e hardwares de segurança Sophos. Valor médio desembolsado foi de R$ 6,2 milhões.
Uma grande tendência identificada no relatório foi o aumento de postagens de gangues em chamados “sites de vergonha”, onde os invasores fazem contagens regressivas para vazar dados como parte de uma tentativa de extorsão. Houve um salto de 75% nas postagens em sites de vazamento de dados em 2023 em comparação com 2022, de acordo com a Mandiant.
Hackers também começaram a ameaçar diretamente as vítimas com ligações telefônicas ou e-mails personalizados. Em 2023, o centro de pesquisa e tratamento de câncer Fred Hutchinson, baseado em Seattle, nos EUA, foi atingido por um ataque da quadrilha de ransomware Hunters International, e pacientes receberam e-mails individualmente, ameaçando divulgar suas informações pessoais se não pagassem.
Ameaças de violência contra executivos e funcionário das empresas vítimas de ransomware também têm sido usadas como tática, tornando-se frequentes. Em 2021, a REvil, um dos mais notórios cartéis de hackers, atacaram a empresa do setor energético Invenergy e ameaçaram e chantagearam o CEO da companhia.
Falando em cartel, gangues de ransomware não operam isoladamente. Seus membros se cruzam com entidades como a The Comm, uma rede global de criminosos – que mais parece criação de algum filme B com roteiro preguiçoso – que se organiza online e oferece “violência como serviço”, além de crimes cibernéticos mais tradicionais, como troca de SIM. Membros anunciam estarem à disposição para espancar pessoas, atirar em casas e postar vídeos macabros que supostamente retratam atos de tortura.
Veja também: Smartphones se tornaram o alvo favorito de cibercriminosos
A resposta das autoridades
Apesar da escalada nas atividades, nem sempre as quadrilhas de ransomware ficam impunes. Em fevereiro, uma colaboração internacional apelidada de Operação Cronos interrompeu a prolífica operação de ransomware LockBit apreendendo seus sites e oferecendo descriptografia gratuita às vítimas. As autoridades também prenderam dois supostos afiliados do grupo que moravam na Ucrânia e na Polônia.
Reduzir o volume de ataques de ransomware tem sido difícil em parte porque as gangues de ransomware estão frequentemente baseadas na Rússia, Ucrânia e outros países do leste europeu. Isso levou a autoridades do Ocidente a virar as táticas de intimidação e jogos psicológicos das próprias gangues contra elas. O Operação Cronos usou um cronômetro de contagem regressiva no estilo de um site de vergonha de ransomware para revelar a identidade do suposto chefe do LockBit, Dmitry Khoroshev, um cidadão russo de 31 anos. Ele também foi indiciado em 26 acusações por promotores dos EUA e sancionado. Como Khoroshev aparentemente está na Rússia, é improvável que seja preso a menos que deixe o país. Mas revelar sua identidade teve o efeito de interromper suas operações de ransomware, colocando-o no alvo dos seus afiliados.
Outro obstáculo para controlar o ransomware é a natureza de afiliados semelhante à lenda mitológica da Hidra, que, quando se cortava uma cabeça, cresciam duas em seu lugar. Após a interrupção do LockBit, analistas viram 10 novos sites de ransomware surgirem quase imediatamente.
As autoridades legais também tem se adaptando a essa realidade. Em maio, a Operação Endgame anunciou que havia interrompido com sucesso várias operações de distribuição de “droppers” de malware. Droppers são uma parte importante do ecossistema do crime cibernético, pois permitem que hackers entreguem ransomware ou outro código malicioso sem serem detectados. A Operação Endgame resultou em quatro prisões na Armênia e na Ucrânia, derrubou mais de 100 servidores e apreendeu milhares de domínios. A Endgame empregou táticas psicológicas semelhantes à Operação Cronos, como uma contagem regressiva para vídeos chamativos contendo texto em russo e incentivando os criminosos a “pensarem em seu próximo movimento”.