Roubar dados de pessoas? Não, agora os hackers querem modificar os resultados de exames. Em 2019, pesquisadores de segurança de Israel invadiram uma máquina de raio-X de um hospital e alteraram as imagens, com o objetivo de enganar os médicos e fazer com que eles passassem falsos diagnósticos.
Com consentimento do hospital, a ideia dos pesquisadores era mostrar a facilidade que um invasor teria de acessar o sistema de um hospital e, em seguida, injetar ou remover um câncer na tomografia de um paciente, por exemplo.
Esse tipo de ataque pode levar à morte de alguém. Ao tirar o câncer dos exames da pessoa, não há diagnóstico e nem tratamento imediato. O ataque também pode ser usado para ganhar dinheiro por meio de alegações fraudulentas de seguro de saúde. Outro cenário é o do ransomware: o hacker altera alguns resultados e pede por dinheiro para relevar quais sofreram mudanças.
O ransomware – um dos cibercrimes que mais atinge as empresas – é um malware injetado em uma rede para infectar e criptografar dados confidenciais até que o valor do resgate seja pago em criptomoeda. Hoje, esse tipo de crime evoluiu e é possível encontrar no mercado o Ransomware as a Service, em que não é preciso ser um especialista em tecnologia para hackear um sistema empresarial, basta ter dinheiro para comprar o serviço.
Para entender melhor sobre o assunto, o Startupi entrevistou o Flávio Costa, especialista em cibersegurança da Cisco.
STARTUPI – Quais são as tendências do Ransomware as a Service?
FLÁVIO COSTA – É uma tendência dos últimos anos e o objetivo principal é monetizar ao máximo. Um ataque de Ransomware, alguns anos atrás, era somente a criptografia dos dados e a cobrança do resgate. O que tem acontecido hoje em dia é que esse ataque é parte de uma operação, então primeiro acontece o roubo dessas informações, que são criptografadas para que a vítima não tenha acesso. Então, elas são vendidas na Dark Web ou ocorre a “cyber extorsão”. Além disso, a empresa corre o risco de ficar offline até decidir se vai pagar o resgate. A última tendência é o hacker conseguir informações privilegiadas de parceiros ou de clientes da empresa, e esse é um impacto intangível. A empresa fica com a reputação de ter sofrido um ataque cibernético e deixado os dados de seus clientes expostos. Um ataque cibernético hoje é muito maior, porque o acesso ao Ransomware as a Service é baixo e qualquer pessoa na Dark Web consegue contratar esse tipo de serviço, que tem suporte e até um “dashboard” para acompanhar as empresas que foram invadidas, então tem toda uma estrutura de serviço, como se você tivesse contratando qualquer outro software como serviço.
Como funciona um time de Ransomware as a Service?
Existe toda uma organização criminosa para fazer o ataque. São vários membros e cada um responsável por uma parte dessa organização, em alguns casos os papéis se mesclam e compartilham responsabilidades. Temos o cérebro da operação, que é quem desenvolve o código malicioso, tem também quem vai fazer a lavagem de dinheiro e quem vai buscar as empresas que serão as vítimas. Além disso, pode haver também o inicial access broker, que seria um funcionário dentro da empresa que facilita a entrada deles no sistema – ele recebe uma participação nos lucros. Tem a pessoa que, a partir do momento que consegue o acesso, procura as vulnerabilidades do sistema e formas de encontrar recursos mais valiosos, porque no final das contas, o objetivo final é a monetização.
Qual a diferença do hacker e do time de cibersegurança de uma empresa?
O time de defesa – os mocinhos tentando defender a empresa – tem que estar certo o tempo todo. Temos recursos limitados e tempo escasso, por outro lado os criminosos cibernéticos têm tempo de sobra, às vezes recursos de sobra porque algumas organizações são financiadas por estados. E eles podem errar quantas vezes quiserem, nós precisamos acertar todas as vezes, porque a vez que acontecer algum erro, é quando um ataque será bem sucedido. É extremamente desfavorável para o defensor e muito favorável para o atacante.
Como é a venda de um Ransomware as a Service?
Existem vários modelos de comercialização, normalmente eles vendem o software e uma central de comando e controle. Na Dark Web você pega o arquivo malicioso e manda para a sua vítima. Há também uma equipe de operação para poder fazer essa entrega inicial, quer dizer, desenvolver algum phishing e infectar o sistema de uma empresa ou de alguém. Você pode ter ajuda de outra equipe para, assim que o acesso inicial for feito, espalhar essa ameaça dentro dessa organização aproveitando o compartilhamento interno de dados – essa é uma das formas mais fáceis de qualquer pessoa conseguir, porque a linha de entrada é muito baixa, em 2020 o valor inicial era de US$ 100 -, você não precisa ter o conhecimento de como aquilo funciona, basta ter o investimento financeiro e disposição para ir a fundo com isso.
Na sua opinião, a empresa deve pagar o resgate se sofrer um ataque de Ransomware as a Service?
Obviamente que o recomendado é nunca pagar, porque se não você está financiando essa estrutura que vai atacar você e outros clientes. Com mais recursos, mais materiais e mais técnicas, eles invadirão mais empresas. E não há garantia de que seus dados serão devolvidos, porque estamos falando de cibercriminosos. De qualquer forma, eles têm uma reputação a zelar, porque se eles não devolverem seus dados, quando eles comprometerem outra empresa, ela vai ficar sabendo que esse grupo não cumpre com a promessa. Mas além de não saber se receberá os dados, você não tem como garantir a integridade das informações no momento que elas foram criptografadas, porque isso está sendo feito de forma ilegítima, através de um ataque cibernético, então se esses dados foram corrompidos no momento da criptografia? Não tenho como garantir que terei eles de volta de qualquer forma, porque existe toda uma potencial falha de comunicação de onde essa criptografia está vindo e como esse ataque aconteceu, não há controle do que foi feito, então algum arquivo pode ter sido corrompido e você não vai conseguir recuperar se não tiver as políticas de backup.
Como as empresas podem se proteger do Ransomware as a Service?
Existem várias formas diferentes, mas particularmente prefiro a forma de consultoria, que é eu entender a sua empresa, o seu negócio, qual que é a sua superfície de ataque, ou seja, quais são os pontos que você pode ser atacado e quais são os pontos que você tem mais vulnerável hoje em dia, e então fazer essa análise de risco e entender quais são os seus ativos, os seus dados e as pessoas, é uma análise mais aprofundada. Mas dicas mais genéricas de uma forma geral seriam: investimento em uma arquitetura de cibersegurança, porque um ataque de Ransomware é multidisciplinar, ele não acontece por conta de um único problema, às vezes são vários que geraram aquele incidente cibernético. Há também o investimento em seguro cibernético e pode ser uma boa recomendação, mas para as empresas que investiram em segurança antes; a conscientização dos colaboradores da empresa, fazer treinamentos que expliquem a importância da segurança e que isso não é responsabilidade somente do time de TI ou de cibersegurança; investimento em soluções que realmente deem a visibilidade necessária e o mecanismo para detectar e responder ao ataque, porque ele inevitavelmente vai acontecer, e ter pessoas capacitadas para poder trabalhar com essas ferramentas.
Qual a importância da empresa investir em cibersegurança?
Se você não introduz a segurança no início do desenvolvimento do seu negócio, depois quando você precisar vai ser muito mais difícil arrumar qualquer tipo de incidente, porque vai faltar o ferramental que precisa para poder responder aquele problema. Segurança é um diferencial competitivo, não é um centro de custo, porque era assim que a gente via um tempo atrás. Já entendemos que TI tem que fazer parte do negócio, porque permite a digitalização das empresas e um negócio que, se não for digital hoje, simplesmente não sobrevive. Então está demorando um pouquinho mais pra gente entender que segurança faz parte da digitalização, porque se você não entregar um negócio seguro, ninguém vai querer investir no seu negócio. Segurança é igual academia, é cuidar da saúde constantemente, porque o retorno é imediato a partir do primeiro dia que você faz a sua matrícula e vai treinar.
