DARYUS 
Em agosto de 2021, mais uma grande empresa se tornou vítima de ransomware, um tipo de código malicioso que “sequestra” dados, com uso de criptografia, e em seguida exige um resgate em bitcoins ou alguma outra criptomoeda. Bem, tendo escrito e discutido bastante esse tema pela última década, é difícil fingir surpresa com o recente sucesso dos cibercriminosos, afinal ano após ano os ataques têm se tornado cada vez mais proeminentes, e as técnicas utilizadas vão muito além de simplesmente tentar contornar controles básicos de segurança, como firewalls e softwares de antivírus.
Mas afinal, o que é um ransomware?
Como já mencionado, o ransomware é um tipo de código malicioso que tem como objetivo a extorsão. Essencialmente o que um ransomware faz é encriptar arquivos, tornando-os ilegíveis do ponto de vista da vítima. Em seguida o cibercriminoso exige um ‘ransom’, o resgate, o que costumeiramente inclui um
pagamento usando alguma criptomoeda, claro, sem nenhum tipo de garantia que, a chave que permite acesso aos dados sequestrados, será efetivamente liberada.
Do ponto de vista do cibercriminoso, um ataque baseado em ransomware tem inúmeras vantagens. Primeiramente, não há necessariamente uma “invasão” do ambiente afetado. Um ransomware pode ser facilmente distribuído em uma mensagem por e-mail, pode ser um link malicioso disponível em um site ou compartilhado em ferramentas de mensagem instantânea, pode ser um arquivo armazenado em um pendrive, entre outros, as opções são múltiplas, mas todas tem um ponto em comum: se o alvo possui uma vulnerabilidade, basta um simples clique para o código malicioso entrar em ação.
É claro, não podemos esquecer do efeito psicológico desse tipo de ataque. Normalmente em casos de ransomware, não há vazamento de informação, na verdade é bastante raro que o cibercriminoso tenha acesso direto aos dados afetados. O mais comum é que os arquivos permaneçam em seu local de origem, apenas estão criptografados e essencialmente inacessíveis, a menos que uma chave seja fornecida, o que não deixa de ser irônico, afinal a criptografia em si é um dos mais básicos componentes da segurança da informação.
Um ataque bem-sucedido de ransomware em uma empresa pode ser nada menos que uma situação desastrosa, como no caso da Maersk que após um ataque em julho de 2017 precisou reduzir a expectativa dos seus resultados financeiros em aproximadamente 300 milhões de dólares.
Mas vale lembrar que apesar dos ataques mais recentes terem sido direcionados a grandes organizações, qualquer dispositivo não protegido pode ser sim vítima de um evento similar, não são raros os casos de pequenas empresas, profissionais liberais ou simplesmente pessoas comuns que relatam ter seus dispositivos pessoais afetados, efetivamente perdendo acesso não apenas a arquivos de trabalho, mas também parte dos seus registros pessoais, como um colega meu que alguns anos atrás perdeu todas as fotos dos filhos devido a uma infecção por um malware.
Assista agora ao webinar sobre: Ransomware – O que você precisa saber para se manter
protegido em 2021? Com o especialista e prof. Coordenador da pós de Cyber
Security, Ricardo Tavares.
O que aconteceu no caso Renner?
Por se tratar de uma ocorrência que ainda está em andamento, ainda existem muitas informações conflitantes sendo compartilhadas em redes sociais ou nos inúmeros grupos que lidam com o tema cibersegurança. O fato é que, em 19 de agosto de 2021, foi divulgado pela Lojas Renner S.A um comunicado informando que sua infraestrutura havia sido afetada por um ciberataque, o que teria resultado em uma indisponibilidade parcial na operação de uma das maiores empresas do ramo varejista de moda do Brasil, com o site da Renner permanecendo fora do ar entre quinta e sexta-feira.
Apesar de ainda não existir confirmação definitiva da autoria do ataque, uma das informações não oficiais que foi amplamente divulgada é uma nota de resgate, que incluía um link da dark web comumente associado ao ransomware RansomExx:
Vale lembrar que o grupo responsável pela operação do RansomExx supostamente também é responsável por outros ataques significativos, como recentemente ocorrido na empresa Gigabyte Technology, que fabrica placas-mãe, além de casos como o da Embraer, Grupo Ultra, o Superior Tribunal de Justiça (STJ) e Tribunal de Justiça de Pernambuco (TJ-PE).
A Renner não se pronunciou oficialmente sobre o pagamento do resgate, mas informações não oficiais estipulam que a extorsão inicial dos cibercriminosos exigia aproximadamente 1 bilhão de reais em criptomoedas, valor que supostamente teria sido reduzido para “apenas” 20 milhões de dólares, contudo essa informação foi negada pela Renner.
O que realmente se sabe é que o foco da organização foi em recuperar os sistemas comprometidos pelo ataque dos cibercriminosos, conforme consta no comunicado oficial da Renner, em nenhum momento as lojas físicas tiveram suas atividades interrompidas, e a empresa prontamente ativou protocolos de controle e segurança para bloquear o ataque e minimizar eventuais impactos, o que pode ser traduzido como um final de semana nada agradável para o time de TI.
A proteção de dados pessoais tratados pela Renner foi afetada?
De acordo com o Art. 46 da LGPD, organizações que realizam o tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Dessa forma, mesmo que não tenha ocorrido um vazamento, caso os cibercriminosos tenham conseguido criptografar dados pessoais tratados pela Renner, isso implica em uma situação ilícita de destruição, perda ou alteração, o que constitui um incidente de segurança da informação contendo dados pessoais, conforme previsto no texto da própria LGPD.
O fato é que, sem qualquer tipo de perda de tempo, o Procon-SP notificou a Lojas Renner solicitando detalhes sobre o referido ataque cibernético, incluindo detalhes como quais bancos de dados foram afetados, o nível de exposição, o período que o site ficou indisponível e se houve algum tipo de vazamento de dados pessoais de clientes.
Adicionalmente a Renner deverá fornecer esclarecimentos sobre o plano de proteção e recuperação em execução, a data prevista para uma solução definitiva, além de quais os canais de atendimento disponibilizados aos consumidores durante a ocorrência e as comunicações encaminhadas para esclarecimentos dos fatos.
Além disso, o Procon-SP também exigiu que a Renner forneça informações sobre aspectos técnicos, como o processo de criptografia utilizado na coleta, tratamento e armazenamento de dados dos clientes, além da presença de um Encarregado pelo Tratamento de Dados Pessoais conforme exigido pela LGPD.
Não há dúvidas da severidade da ocorrência, e nos próximos dias será no mínimo interessante ver a reação das múltiplas partes interessadas, desde acionistas, clientes/titulares de dados pessoais, além de – é claro – a Autoridade Nacional de Proteção de Dados Pessoais – ANPD.
A importância do fator humano na segurança da informação
É claro que sem informações oficiais, discutir sobre a causa do incidente da Renner é algo puramente especulativo. A empresa deixou claro que faz uso de tecnologias e padrões rígidos de segurança da informação, e não há motivo nenhum para duvidar disso.
Entretanto, é notório que grupos de cibercriminosos tem evoluído e abraçado novas táticas para aumentar a efetividade dos seus ataques, e isso é algo que extrapola o aspecto técnico da questão. Muito além de buscar uma vulnerabilidade de sistema operacional ou uma falha em algum aplicativo, grupos responsáveis por disseminar ransomware estão ativamente trabalhando com um tipo de ameaça que deveria tirar o sono de qualquer CISO ou CEO: agentes internos.
Sim, algo que se tornou bastante comum são grupos de cibercriminosos como os responsáveis pelo ransomware Black Kingdom, ofertando uma parte do resgate para que um empregado ajude na disseminação do malware:
Conforme recentemente reportado pelo portal thehackernews.com, mensagens são enviadas para funcionários, informando que “se eles forem capazes de implantar ransomware em um computador ou servidor da empresa, eles receberão US $ 1 milhão em bitcoin, ou 40% do resgate presumido de US $ 2,5 milhões. Aproveitando do atual cenário onde boa parte da força de trabalho segue no home office, o
grupo informa que o colaborador poderá disseminar o ransomware fisicamente ou mesmo remotamente, e fornece meios para contato como endereços de e-mail ou nomes de usuário no Telegram.
Essa não é uma tática nova, por exemplo, em 2020 o cibercriminoso russo Egor Igorevich Kriuchkov tentou subornar um empregado da fabricante de automóveis Tesla, a oferta era de 1 milhão de dólares para que ele distribuísse um ransomware em uma Gigafactory. Neste caso, felizmente, o colaborador tomou a atitude correta e reportou o caso para os canais apropriados, o que resultou na prisão de Egor Igorevich pelo FBI, que após se declarar culpado, foi deportado de volta a Rússia.
O fato é que o montante envolvido em ataques de ransomware é bastante elevado, por exemplo, em casos razoavelmente recentes como o da Colonial Pipeline – a empresa responsável pelos maiores oleodutos nos EUA – cibercriminosos supostamente receberam cerca de 5 milhões de dólares, já a brasileira JBS – uma das maiores indústrias de alimentos do mundo – teve que desembolsar cerca de 11 milhões de dólares para reaver dados criptografados por cibercriminosos russos.
Com extorsões de ransomware na casa dos milhões de dólares em bitcoins, é mais do que provável que cibercriminosos estejam bastante dispostos a pagar pelo apoio de agentes internos. A dura verdade é que apenas confiar na honestidade dos colaboradores da sua organização é uma estratégia falha, algo que fatalmente deixa seu negócio exposto ao que pode ser – literalmente – um prejuízo milionário, ou até mesmo bilionário.
O que posso fazer para evitar que minha organização seja a próxima vítima?
Proteger qualquer ambiente contra ransomwares e outras ameaças cibernéticas é algo que requer uma estratégia que combine adequadamente os fatores pessoas, processos e tecnologias. De forma geral é extremamente importante ter uma boa solução contra códigos maliciosos, dando preferência a produtos que são capazes de identificar proativamente ameaças do tipo 0-day, sem a necessidade de ter conhecimento prévio padrão do vírus ou código malicioso.
Mas é claro, deixar sua proteção simplesmente a cargo do antivírus não é uma estratégia lá muito inteligente ou mesmo efetiva, é necessário atuar em outros pontos, como ter uma boa gestão de vulnerabilidades, aplicando correções de segurança em sistemas operacionais e aplicações o antes possível, outro ponto importante é investir em controles como firewalls e outras tecnologias que são capazes de detectar e bloquear ameaças, além de implementar uma segmentação apropriada da rede corporativa.
Ainda discorrendo sobre componentes técnicos, soluções para monitoramento de eventos de segurança podem ajudar a detectar e tratar de forma precoce ocorrências como ransomware ou tentativas de invasão.
Obviamente você não pode deixar de lado o aspecto humano. Colaboradores bem treinados e conscientizados sobre suas responsabilidades quanto a segurança da informação e proteção de dados pessoais são a base de qualquer estratégia efetiva. Um passo importante é definir regras e responsabilidades claras, o que pode ser feito através de um conjunto adequado de políticas, normas e
procedimentos, mas é necessário ir além.
Inteligência de ameaças cibernéticas: torne-se um especialista
Se você quer que o fator humano seja o elo mais forte na sua estratégia de segurança da informação, investir em ações de educação e conscientização é fundamental. Segurança da informação é um tema que seus colaboradores não vão dominar se você fizer apenas uma apresentação de 5 minutos durante a integração de novos empregados
Uma boa abordagem é criar um planejamento a longo prazo, com diferentes tipos de ações focadas em garantir que seus colaboradores não apenas compreendam as regras de Segurança adotadas pela organização, mas que também saibam reconhecer e – principalmente – reportar situações anômalas e possíveis incidentes.
Se você acha que tudo isso é um enorme trabalho com um custo exorbitante? Bem, devo dizer que você está parcialmente certo. Para a maioria das organizações a implementação de uma estratégia efetiva de segurança da informação é algo que vai exigir um esforço considerável em termos de tempo e recursos, tanto humanos quanto financeiros.
Porém, quanto ao custo exorbitante, é importante lembrar que pesquisas recentes mostram de forma independente que o investimento realizado em melhorias relacionadas a privacidade e segurança da informação tem trazido amplo retorno para organizações ao redor do mundo, das quais mais de 40%
reportaram consistentemente que recuperaram mais do que o dobro do valor investido, dado o aumento na sua eficiência operacional, redução no número de incidentes e violações, maior agilidade e possibilidade de abraçar inovação e tecnologias disruptivas, e fortalecimento da marca.
Consultoria em Segurança da Informação e Cibersegurança
Seja um especialista altamente qualificado na área de Cyber Security, aprenda na prática com aulas hands-on:
