SÃO PAULO – Ataques cibernéticos a empresas estão se tornando cada vez mais comuns no mundo todo. O grupo Fleury (FLRY3) ficou com os sistemas fora do ar, enquanto a empresa de alimentos JBS (JBSS3) teve suas operações de processadoras de carne na América do Norte e na Austrália impactadas.
A americana Colonial Pipeline teve que paralisar suas operações durante alguns dias, afetando a distribuição de gasolina em boa parte da Costa Leste dos EUA. Entre as semelhanças dos episódios citados, mais do que o ataque cibernético propriamente dito, está a origem do problema: o crime ocorreu através de ransomwares.
Mas afinal, o que é um ataque ransomware? O ransomware pode ser traduzido como um sequestro de dados. É um software de extorsão, ou seja, os hackers acessam sistemas críticos, os bloqueiam e exigem valores financeiros das vítimas para que elas liberem as informações.
“Ransom” em inglês significa “resgate”. Assim, como o próprio nome sugere, as vítimas desses golpes, como as empresas citadas, geralmente precisam desembolsar uma quantia alta para recuperarem seus sistemas que ficam bloqueados pelos cibercriminosos.
O InfoMoney contatou especialistas para entender o cenário de segurança digital no Brasil, como funciona o ransomware e para coletar dicas de como as empresas podem evitar esse tipo de problema. Confira abaixo.
A extorsão via ransomware
O ransomware é um software feito para sequestrar os dados do local que vai atacar e depois extorquir a vítima.
“A ação de um ransomware pressupõe que o hacker queira infectar de alguma forma um ambiente digital com esse software malicioso com o objetivo de estabelecer algum tipo de controle sobre o conteúdo”, explica Paulo Alessandro, head de vendas da área de engenharia da Tempest, consultoria de segurança.
Ao iniciar o processo, o ransomware vai sequestrar, reter a informação e criptografá-la, mantendo uma única chave de acesso para liberar o acesso aos dados. “Depois pede o resgate para a vítima, geralmente em criptomoedas”, explica Alessandro.
Mas há dois tipos de extorsão a partir da infecção do ransomware em um dispositivo, segundo Marco DeMello, CEO da PSafe, empresa de segurança digital.
“A primeira (e a mais comum) é essa que sequestrar os dados e exigir dinheiro como resgate desses dados. Porém, ao fazer esse sequestro, o cibercriminoso pode copiar todos eles, e semanas depois dar início a uma segunda extorsão”, conta.
“Então, ele vai contatar a empresa novamente e pedir mais dinheiro, ameaçando a empresa: se não houver pagamento, eles divulgam as informações ao público, resultando no vazamento de dados”, explica.
Assim, o vazamento de dados pode ser uma consequência de um ataque ransomware — caso a empresa opte por não pagar.
“O problema é que é uma chantagem eterna. Se a empresa paga ambas as extorsões, os cibercriminosos podem voltar semanas depois pedindo mais dinheiro, vira um ciclo vicioso e a empresa fica na mão do criminoso”, diz o CEO.
“Por isso, muitas empresas não pagam essa segunda ameaça. Preferem correr o risco de ter os dados vazados. Afinal, não ter acesso aos próprios dados pode quebrar a empresa. Uma vez que os dados voltam para as mãos da empresa, a recuperação pode ser lenta, mas deve acontecer. Os dados vazados é uma crise de imagem, mas que a empresa eventualmente pode recuperar”, avalia DeMello.
De fato, a empresa tem dificuldade em mensurar o tamanho do risco, pontua Alessandro. “É complicado: você como empresa vai ceder e pagar pelos próprios dados? Aí, paga e não tem os dados de volta. Não tem como confiar na palavra do cibercriminoso”, diz o executivo da Tempest.
Como funciona o ransomware?
O consenso entre os especialistas consultados é de que o método mais comum de um ransomware infectar um dispositivo de uma empresa é por meio do e-mail.
“Os cibercriminosos preparam e-mails que chamem a atenção do funcionário, por exemplo. Pode ser sobre qualquer tema que incentive o clique, mas geralmente tem relação com a identidade visual da empresa, pode usar materiais já publicados, tudo para enganar a pessoa do outro lado da tela”, explica Alessandro.
Segundo ele, a ação do cibercriminoso geralmente é direcionada à empresa que será a vítima, por isso, existe a preocupação de tornar a mensagem corrompida e o mais comum possível para o ataque ser bem-sucedido.
Marco Zanini, CEO da Dinamo Networks, acrescenta que ao infectar o dispositivo, o ransomware procura por documentos como planilhas, bancos de dados, documento do Word, entre outros documentos que potencialmente são importantes para a empresa.
“O elo mais fraco é o ser humano. Geralmente, o ransomware entra na empresa por descuido de algum funcionário, que mesmo sem querer abre o e-mail corrompido”, diz.
Alessandro pondera, no entanto, que raramente o ataque ransomware tem como origem um ponto isolado.
“Os cibercriminosos praticam a engenharia social de forma muito eficiente, enganando, de fato, as pessoas. E não estamos falando dos funcionários que trabalham em áreas distantes da segurança da informação. Mesmo experts são enganados por esses e-mails e abordagens direcionadas. Mas a empresa também precisa de ferramentas que auxiliem nessa proteção. Sem elas é quase impossível conter 100% das tentativas”, explica.
Mas não funciona somente dessa maneira. Segundo uma apuração da Bloomberg, o ataque na Colonial Pipeline, por exemplo, aconteceu porque a empresa provavelmente foi violada por meio de uma senha vazada para uma conta antiga que tinha acesso à rede privada virtual (VPN) usada para acessar remotamente os servidores da empresa.
A conta supostamente não tinha autenticação dupla, então os hackers só precisavam saber o nome de usuário e a senha para obter acesso ao maior oleoduto de petróleo do país.
Ciclo vicioso prejudica ação de defesa
Segundo DeMello, de dois anos para cá houve uma evolução drástica no comportamento dos ataques e uma injeção de capital muito grande do crime organizado virtual.
“A deep web se organizou e existem empresas operando que alugam ferramentas de ransomwares. O hacker tem interesse em atacar uma empresa X. Busca na deep web uma provedora de ransomware, aluga o software, geralmente, em bitcoin, faz o ataque e divide o lucro com essa provedora. A sofisticação da operação é alta. O criminoso só precisa acertar uma vez, enquanto a empresa e seus parceiros que ajudam na defesa precisam estar certos o tempo todo”, diz.
A PSafe tem como um de seus serviços, inclusive, um seguro para ataques ransomware. “O seguro cobre as consequências da invasão, seja auxiliando financeiramente na recuperação de dados pós ataque, ou mesmo pagando o resgate”, explica DeMello.
Publicidade
Os seguros contra ransomwares podem alimentar esse ciclo de extorsão: se os hackers sabem que a empresa possui seguro, praticamente têm a garantia de que vão receber alguma quantia. Mas é uma operação complexa de ser impedida.
Luis Corrons, pesquisador sênior da Avast, afirma que esses ataques cibernéticos criminosos são um dilema para as empresas.
“De um lado, se ninguém paga os criminosos teoricamente os ataques poderiam diminuir, afinal, eles estão atrás de dinheiro, da recompensa financeira. Por outro lado, não existe garantia de que isso acabe. As motivações dos criminosos são variadas”, afirma.
Continua depois da publicidade
“A Colonial Pipeline fornece combustível para boa parte da Costa Leste americana. Quando o ataque foi noticiado já começaram os estoques e picos de preços. Se a empresa não paga o resgate o que ia acontecer? Ia ser uma crise. A empresa teve que desembolsar US$ 4,4 milhões”, diz DeMello.
“Até os criminosos pararem os ataques por não estarem recebendo, os prejuízos podem ser gigantescos, inclusive para a economia de um país. Se os alvos forem as grandes empresas, pode afetar muitas pontas da cadeia”, completa. A operação da empresa já voltou à normalidade.
O InfoMoney contatou o Grupo Fleury e a JBS EUA sobre a situação atual dos sistemas e um posicionamento sobre os respectivos casos. A JBS não respondeu à solicitação até o momento de publicação desta reportagem. Oficialmente, nenhuma das empresas informou pagar o resgate das informações.
Continua depois da publicidade
Em nota, o Fleury informou apenas que a “base de dados se manteve íntegra, os sistemas foram rapidamente reestabelecidos e em nenhum momento os atendimentos foram interrompidos”.
Ataques em alta
Segundo a empresa de segurança digital Sonic Wall, no Brasil, esses ataques de ransomware aumentaram 62% em 2020, na comparação com o ano anterior. O Brasil é o nono país do mundo com maior registro desse tipo de golpe. Veja abaixo o ranking.
Por aqui, foram mais de 3,8 milhões de ataques da ransomware bem-sucedidos. Embora sejam muitos, o volume é uma fração na comparação com os mais de 203 milhões observados nos EUA em 2020.
Ainda, dados da Fortinet, empresa de soluções de segurança cibernética, revelam que o Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos só no primeiro trimestre de 2021.
Um outro estudo da consultoria Gartner mostra que há a intenção de investir cada vez mais em segurança da informação: os gastos mundiais com tecnologias para segurança da informação e serviços de gerenciamento de risco devem crescer 12,4% em 2021, chegando a US$ 150,4 bilhões. Como base de comparação, em 2020, os gastos com segurança e gerenciamento de risco cresceram 6,4%.
Como as empresas evitam o problema?
Paulo Alessandro, da Tempest, afirma que as empresas precisam entender que ser vítima de um ataque ransomware não é fruto de uma única imprudência ou de uma única ação ou tomada de decisão incorretas.
“É fruto de uma cadeia de eventos e escolhas executivas e operacionais no dia a dia, que podem criar essa janela de exposição. A sinergia entre as áreas administrativas, operacionais e de segurança é fundamental”, diz.
Por isso, o InfoMoney pediu dicas para todos os especialistas (da Tempest, da Dinamo, da Avast e da PSafe) ouvidos para esta matéria. Veja abaixo.
1. Conheça o horizonte de risco
Cada empresa precisa saber o horizonte de risco para medir quais critérios de segurança vai adotar. Segundo os especialistas, não saber isso é navegar às escuras em um mar totalmente desconhecido.
Como fazer isso? É preciso conhecer as joias da coroa, como exemplificou Alessandro. Ou seja, a empresa precisa identificar quais as informações mais importantes para proteger com o máximo de critério e rigor.
Fazer escolhas é essencial porque, no limite, tentar proteger todas as informações pode tornar o negócio inviável pelo custo alto e baixa eficiência operacional. Ter muitos controles das informações pode desacelerar o trabalho dos funcionários no dia a dia, o que pode ser ruim.
Por isso, é preciso identificar dentro da empresa as informações chaves, que vão variar de acordo com o negócio. Se a empresa tiver uma área grande de pesquisa e desenvolvimento a atenção vai para um lado, se a empresa for de bens de consumo, provavelmente terá mais dados de pessoas físicas, e o foco vai para outro lado, por exemplo.
2. Segurança da informação é parte da estratégia
Mais do que identificar seu horizonte de risco, é preciso tornar esse diagnóstico prático. Por isso, os especialistas recomendam que a segurança da informação seja uma pauta constante dentro das empresas, integrando a parte estratégica do negócio.
Continua depois da publicidade
Os times da empresa precisam jogar juntos, ou seja, as prioridades de segurança da informação devem estar alinhadas com as outras áreas. Uma forma de desenvolver isso é fazer um plano de ação focado em segurança da informação.
Tenha um plano criterioso de segurança e baseado em dois pilares centrais: o universo de risco da empresa e a informação que deseja proteger. Ao longo do tempo esse plano, que vai ser adaptado e acompanhando de perto, vai mostrar quais os riscos são maiores, quais as fragilidades, e garantir uma prevenção ao ataque cibernético.
Mesmo se acontecer, a resposta tende a ser mais rápida se há um plano traçado para momentos como esse. Inevitavelmente, esse plano vai exigir investimentos de tempo, dinheiro e recursos humanos, mas é isso que vai evitar uma surpresa negativa ou um ataque de risco imensurável.
Continua depois da publicidade
3. Olho nos parceiros
Essa prevenção aos ataques ransomwares não pode parar dentro da estrutura da empresa. Todo mundo relacionado ao ecossistema de negócio faz parte do escopo de segurança, seja por força regulatória, seja por precaução de mercado.
Saber como os parceiros cuidam das suas informações é fundamental para que o plano de segurança seja eficiente. Não adianta a empresa ter uma ótima infraestrutura, se os parceiros não tiverem. A força da corrente sempre será proporcional ao elo mais fraco dela.
4. Treinamentos e campanhas
Uma outra forma de incentivar a segurança da informação é a empresa promover campanhas e treinamento de segurança internos para os próprios funcionários. Se todos os funcionários tiverem uma noção básica dos riscos a chance de mitigar pelo menos parte deles é boa.
Continua depois da publicidade
As empresas brasileiras carecem de uma cultura de segurança digital, ainda é necessário treinar as pessoas para pensar nos riscos envolvidos em uma operação de negócio. Durante a pandemia, em que muitas empresas estão operando à distância isso é ainda mais importante, já que não há uma supervisão constante, nem um ambiente fixo seguro onde as informações circulam.
5. Qualquer empresa é alvo
Apesar dos exemplos citados serem referentes a empresas de grande porte em seus respectivos negócios, não há uma regra para esse tipo de ataque. Qualquer companhia pode enfrentar problemas desse tipo.
O que muda é que o software sabe que ao atacar empresas de menor porte precisa pedir uma recompensa proporcional, sabendo quanto ela pode gastar. Por isso, médios e pequenos empresários precisam ficar atentos com a área de segurança da informação de seus negócios.
As dicas são as mesmas, e vale aplicá-las de forma coerente ao tamanho do negócio, conforme os especialistas explicaram.
Startups de segurança surfam na onda
Em meio à crescente preocupação das empresas com o tema segurança digital, as oportunidades aumentaram para startups que estão atuando nesse nicho, com diversos tipos de produtos e serviços.
A VU Security, por exemplo, tem foco na melhoria da identificação digital e prevenção de fraudes. A empresa argentina coloca como diferencial prover experiências digitais simples, mas protegidas. A ideia conquistou um novo investimento recente de R$ 60 milhões — e parte dos recursos serão usados para a entrada da VU Security no mercado brasileiro.
A Incognia, uma startup que possui uma solução de autenticação para aplicativos mobile, teve um aumento de 66% na sua base de usuários no segundo trimestre de 2021. “Só em julho de 2021, três bancos digitais integraram nossa tecnologia em seus aplicativos, somando mais 30 milhões de contas protegidas”, diz André Ferraz, CEO da empresa.
A Unico, que desenvolve soluções para proteção de identidade e prevenção de fraudes, atingiu até junho 110% do volume de autenticações que fez em 2020 para seus clientes. “De maio de 2020 até 20 de julho deste ano, a Unico saltou de 180 para 600 colaboradores e quase triplicou de tamanho — atingindo a meta de crescimento anual nos primeiros seis meses de 2021”, afirma Thiago Diogo, diretor de segurança da informação, privacidade e plataforma da empresa.
A AllowMe, outra startup de segurança da informação e identificação de usuários, também registrou crescimento: houve um aumento de 40% de novos clientes no primeiro semestre de 2021 comparando com o mesmo semestre de 2020.
Mesmo outras categorias de empresas como a Dinamo Networks, por exemplo, registraram crescimento de 30% na demanda de produtos e serviços para a proteção de dados e criptografia no primeiro semestre de 2021. Na PSafe, a dfndr enterprise, solução contra vazamentos de dados empresariais, foi lançada em janeiro e até junho registrou aumento médio mensal de 50% no número de novos clientes.