Impacto é difícil de ser dimensionado, diz especialista de TI sobre ‘incidente de segurança’ do BRB

Banco assegurou que não houve 'comprometimento de dados de contas correntes ou impacto financeiro direto a clientes'

Equipe InfoMoney

(Reprodução/Facebook BRB)
(Reprodução/Facebook BRB)

Um “incidente de segurança tecnológica” pode significar um impacto difícil de ser dimensionado. Foi esta a explicação dada pelo Banco BRB (BSLI4), na sexta-feira (7), quando ficou com seus serviços fora do ar dois dias antes, na quarta (5).

Segundo Emilio Simoni, diretor do dfndr lab, da PSafe, empresa de segurança digital, pode ter ocorrido algum evento com impactos significativos contra um dos três pilares de segurança da informação do banco: confidencialidade, integridade e disponibilidade.

“Não dá para cravar o que aconteceu. Pode ser um ransomware, mas também pode ser queda no provedor de link [quando a rede que carrega o sistema do banco fica fora do ar], ou uma queda de sistema generalizada, por exemplo”, explica Simoni.

Reportagem de “Tecmundo” chegou a afirmar que o banco teria sido alvo de um ataque hacker realizado por meio de ransomware, software de extorsão que faz sequestro de dados. Nessa modalidade, os hackers acessam os sistemas críticos e pedem recompensa sob a ameaça de publicar informações sigilosas.

Em comunicado, o BRB não detalhou a operação que causou o “incidente de segurança tecnológica”. Mas assegurou que não houve “comprometimento de dados de contas correntes ou impacto financeiro direto a clientes”.

Segundo o “Tecmundo”, os criminosos teriam exigido cerca de 50 bitcoins (BTC), algo em torno de R$ 5,2 milhões, para não divulgarem informações dos clientes. O banco não informou ao InfoMoney se fez algum pagamento ao grupo hacker.

A instituição afirmou apenas que, “as informações de acesso, senhas e contas correntes [dos clientes] estão protegidas e não foram objeto de acesso indevido”. Também ressaltou que tomou todas as medidas necessárias para a solução do incidente, com notificações enviadas à Polícia Civil do Distrito Federal (PCDF), ao Banco Central do Brasil (BCB) e à Autoridade Nacional de Proteção de Dados (ANPD).

Acesso indevido

“A partir do ‘acesso indevido’ já dá para afunilar as possibilidades. É possível que alguém tenha tentado explorar vulnerabilidades do sistema do banco. Pode ser que tenha sido um ataque hacker”, explica o especialista, ao salientar mais uma vez ser difícil cravar o que realmente aconteceu.

Emilio Simoni ressalta que os bancos possuem uma segmentação de rede. Dados confidenciais, que servem de controle bancário, como senhas e informações da conta corrente, costumam ficar em uma rede fisicamente separada das demais, como a que acopla a VPN de funcionários, por exemplo.

“É muito difícil um criminoso conseguir entrar com um ransomware em uma rede secundária em termos de sigilo de dados e acessar a rede de dados confidenciais dos clientes”, explica.

Como funciona ataque de ransomware?

Todo ataque de ransomware tem um ciclo padrão. O primeiro passo do ataque é fazer o acesso inicial ao sistema. E costuma acontecer por meio de phishing. “O criminoso invade a VPN da empresa e manda uma página falsa de troca de senha para o funcionário, que por sua vez ‘troca a senha’ e acaba compartilhando o dado”, diz Simoni.

Outras formas comuns de acesso inicial são dados vazados ou spam via e-mail. “Funcionários costumam usar a senha que utilizam na VPN em outras redes sociais. Com bots, os criminosos descobrem e acessam o sistema. Ou também enviam e-mails falsos pedindo trocas de senha para funcionários”, explica o especialista.

A partir do momento que o cibercriminoso consegue concluir essas etapas, compromete a integridade da máquina com o software malicioso, e começa a próxima fase que é chamada de “elevação de privilégios” ou infecção.

“Geralmente o primeiro acesso é limitado, então, é importante tentar acessar mais máquinas para, no limite, ter acesso irrestrito ao sistema, tentar desativar o antivírus e não ser pego”, explica.

Depois, o desafio é buscar obter mais informações, como pegar credenciais das redes e identificar outros computadores, fazendo o chamado “reconhecimento de ambiente”. “Essa etapa pode demorar dias ou semanas a depender se o criminoso for pego ou não. A ideia é acessar as informações importantes, como bancos de dados”, diz.

Feita essa varredura de dados, o criminoso já viu o que há de informação e já sabe o que precisa. Então, o software começa o processo de criptografia dos dados. “Se o criminoso acha um banco de dados, ele faz uma cópia com senha. Depois costuma destruir essas informações do sistema e finaliza o ataque com a chamada ‘double extorsion’”, diz Simoni.

A dupla extorsão, em tradução livre, é o seguinte: o criminoso dá a opção de devolver os dados que possui para a empresa. Muitas companhias e mesmo bancos têm backups de dados.

Se for o caso, o cibercriminoso utiliza, então, a ameaça de divulgação das informações confidenciais, já que possui a cópia, com pedidos de altos valores para não publicá-los. “O problema é que não há garantia de nada. A empresa pode pagar duas vezes e ainda assim ter as informações vazadas”, diz Simoni.

Ransomware é popular

Simoni ressalta ainda que os ataques cibernéticos que utilizam o ransomware são muito comuns hoje em dia porque a estrutura por trás dessa modalidade evoluiu muito.

Segundo o especialista, um dos ransomwares mais conhecidos é o Lockbit. “O problema é que esse formato escalou os ataques porque mesmo pessoas que não têm tanto conhecimento de programação conseguem comprar o serviço e aplicar ataques, inclusive, os grupos que vendem o ransomwares até dão cursos de como aplicar os golpes”, diz.

Via de regra, os grupos que vendem o software ficam com algo entre 20% e 30% dos resgates feitos a partir do lucro do golpe aplicado, e a pessoa que administra o ataque fica com 70% a 80%.

O BRB

O BRB tem como acionista majoritário o Governo do Distrito Federal. Foi criado em 10 de dezembro de 1964, e começou suas operações em 12 de julho de 1966. Sua criação foi pensada para fazer com que o Governo do Distrito Federal se tornasse um agente financeiro que possibilitasse captar os recursos necessários para o desenvolvimento da região.

O banco que oferece, desde 1991, serviços comerciais, de câmbio, imobiliários, entre outros, ganhou notoriedade nacional ao fechar patrocínio com o time de futebol carioca Flamengo.

A instituição fechou o quatro trimestre de 2021 com 3,5 milhões de clientes pessoas físicas e jurídicas, alta de 344% em relação ao mesmo período de 2020. Segundo o resultado do segundo trimestre de 2022, o banco passou a contar com 4,7 milhões de clientes totais.

Confira, abaixo, a íntegra do comunicado do BRB:

“O BRB informa que identificou a ocorrência de um incidente de segurança tecnológica. Não houve comprometimento de dados de contas correntes ou impacto financeiro direto a clientes. As informações de acesso, senhas e contas correntes estão protegidas e não foram objeto de acesso indevido.

Todas as medidas necessárias para a solução do incidente foram adotadas pelo BRB e pelas autoridades competentes. O Banco notificou ainda a Polícia Civil do Distrito Federal (PCDF), o Banco Central do Brasil (BCB) e Autoridade Nacional de Proteção de Dados (ANPD). Por fim, o BRB reforça seu compromisso com a transparência e segurança de seus clientes.”