O Gabinete Federal de Segurança da Informação (BSI) publica um relatório de situação sobre segurança informática na Alemanha. O Ransomware aparece nele mais de uma vez. Tempo para uma actualização da aplicação Bitcoin mais impopular assassina. O malware extorsivo ameaça a legitimidade das moedas criptográficas?
Recentemente, o Gabinete Federal de Segurança da Informação (BSI) publicou o Relatório de Situação sobre Segurança Informática na Alemanha 2021.
O relatório descreve em 100 páginas a “situação de ameaça da segurança das TI na Alemanha”, com destaque para “ataques a empresas, instituições estatais, bem como instituições públicas e particulares”. A palavra “resgates” aparece 79 vezes nestas 100 páginas. Isto indica a grande importância deste “software de chantagem” entre as fontes de perigo do ciberespaço.
O Ransomware não é realmente um fenómeno novo. “Malware que restringe o acesso a dados ou sistemas, por exemplo através de encriptação, para que o atacante possa então extorquir um resgate” existia mesmo antes da Bitcoin. Mas só desde que se tornou habitual exigir pagamentos de Bitcoins por volta de 2013 é que o “modelo de negócio de resgate” se tornou A história de sucesso do cibercrime internacional – e isso sem interrupção durante cerca de oito anos.
Porquê Bitcoin? Porque é que a moeda criptográfica se tornou um marco para o resgate?
Bitcoins não são anónimos. As moedas digitais são altamente transparentes. Como um caracol que deixa o seu rasto de lodo, cada transacção deixa um rasto abundantemente claro na cadeia de bloqueio. Peritos como o antigo general da CIA … dizem portanto que o Bitcoin é o pior meio de pagamento concebível para os criminosos.
No entanto, as Bitcoins são muito boas para uma coisa: Para receber dinheiro anonimamente. Qualquer pessoa pode gerar um endereço para receber dinheiro. Para isso, não é necessário um BI, uma conta bancária, um número de telefone, nem sequer um endereço de correio electrónico. Além disso, as Bitcoins para as quais tem a chave privada são descongeláveis, e as transacções de entrada são incontroláveis. Com estas propriedades, o Bitcoin estimulou o resgate – que posteriormente se tornou uma “aplicação assassina” Bitcoin da qual a cena preferia não falar.
A rigor, os resgates representam uma ameaça decente para Bitcoin. Nos EUA, há tendências para classificar a extorsão em grande escala, por exemplo contra uma firma de advogados proeminente, como ciberterrorismo. O Ransomware pode tornar-se a razão – ou pretexto – porque as moedas criptográficas são (mesmo) mais estritamente reguladas e possivelmente também proibidas.
Todas as paragens para raquetes de protecção mafiosa
O relatório da BSI mostra como a situação em torno do resgate continuou a desenvolver-se na Alemanha de Junho de 2020 a Maio de 2021. É excelente para obter um instantâneo deste “comércio” emergente – e dos danos que ele está a causar.
Algumas tendências saltam literalmente para cima de si. Por exemplo, a indústria está a ser desafiada por uma mudança de pensamento entre as vítimas. Cada vez com mais frequência, as vítimas ficam mais relaxadas com o ataque graças a um apoio ou seguem as recomendações das autoridades para não pagarem dinheiro de protecção.
Os hackers reagem a isto com duas tácticas: Por um lado, não só encriptam os dados, como também os roubam. Desta forma, podem melhorar a sua posição com a ameaça de fugas de dados. Além disso, também ameaçam com ataques DDoS para conseguir que a vítima pague o resgate. Por exemplo, de acordo com a BSI, “se uma empresa de venda por correspondência em linha fosse forçada a mudar para uma presença na Web menos resistente a ataques DDoS devido a um ataque de resgate, tal ataque DDoS tornaria ainda mais difícil lidar com o ataque de resgate”.
Assim, isto aproxima os resgates dos esquemas multidisciplinares de protecção ao estilo mafioso. Qualquer meio serve, se aumentar a pressão.
O resgate como final da caça grossa
Uma segunda tendência em resgates é uma profissionalização interna. Outros relatórios já escreveram sobre isto, tais como a divisão do trabalho entre programadores de software, distribuidores e lavadores de dinheiro.
O BSI acrescenta a isto a natureza multifásica dos ataques. Em vez de arrastar malware através do oceano dos sistemas informáticos como um arrastão, os hackers estão cada vez mais orientados para “ataques de espionagem APT”. Estes são ataques elaborados, complexos, profissionais e direccionados – artesanais, por assim dizer – a agências governamentais e empresas. Concentram-se num alvo, em seguida, resolvem vulnerabilidades, por vezes ao longo de meses, e depois exploram-nas com todos os meios à sua disposição. Suspeita-se que tais ataques sejam financiados ou promovidos pelos habituais estados malfeitores: China, Rússia, Irão e Coreia do Norte.
No caso de resgates, por exemplo, é assim que funciona: Em primeiro lugar, o Emotet Trojan nidifica em Outlook. Aí, analisa o tráfego de correio electrónico da vítima a fim de realizar “ataques de engenharia social de aspecto particularmente autêntico aos contactos da vítima”. O Emotet abre então o download para que os hackers possam instalar o Trickbot espião malware. Isto agora digitaliza todo o sistema e, se possível, também a rede. Apenas no último passo – e apenas se valer a pena – é que os hackers carregam o Ryuk do resgate. Isto encripta então os dados.
O resgate torna-se assim o final de uma longa aquisição orquestrada de sistemas informáticos.
Os hackers estão a visar cada vez mais vítimas financeiramente fortes. O BSI chama a isto “caça grossa”. Esta tendência já existe há algum tempo e está a manifestar-se em vítimas cada vez mais conhecidas e grandes, desde supermercados suecos a fornecedores de energia italianos.
Uma nova vítima pública todas as semanas
Os danos causados pelo resgate são difíceis de estimar. Mas está a tornar-se evidente que eles devem ser enormes.
Segundo o presidente do BSI, Arne Schönbohm, a informática de pelo menos uma administração municipal ou autoridade distrital alemã é paralisada todas as semanas por um serviço de resgate. Quando as coisas correm mal na administração alemã, pode ser cada vez mais devido a um resgate.
O BSI não revela quanto é que as empresas e instituições alemãs pagam de resgate por ano. Se conhece de todo esta informação. Mas o facto é que o resgate é apenas uma parte dos danos causados pelo resgate – e provavelmente nem sequer o maior.
“Normalmente demora em média 23 dias desde a descoberta de uma infecção até que os sistemas sejam limpos e totalmente restaurados em funcionamento […] Este impacto imediato é normalmente seguido por custos de seguimento incorridos para lidar com o ataque”.
Em média, são necessárias, portanto, três semanas até que os sistemas estejam de novo completamente intactos. No caso de uma loja online, por exemplo, isto pode ser muito dispendioso. Se também houver danos de reputação devido à publicação de dados, “os danos causados por um ataque de resgate podem ameaçar a existência de uma organização afectada”, explica o BSI.
Mas não é apenas o processamento de um ataque que devora recursos – também a sua prevenção. O BSI recomenda medidas extensivas: As empresas devem manter uma cópia de segurança, nomeadamente uma que esteja completamente offline e regularmente verificada quanto à sua reconstituibilidade. As transferências de dados em rede devem também ser acompanhadas de perto para evitar o roubo de dados ou para os detectar numa fase precoce. As vulnerabilidades, tais como as ligações ao mundo exterior, devem ser minimizadas, os sistemas e programas operacionais devem ser actualizados regular e prontamente, e as redes devem ser segmentadas internamente. Os empregados devem receber formação “abrangente e contínua”, o acesso aos níveis administrativos deve ser limitado de forma consistente.
Tais medidas são certamente sensatas. Não podem prevenir completamente os ataques, mas podem torná-los muito menos prováveis. Mas são caros. Requerem uma manutenção quase constante dos sistemas informáticos, exigem o tempo de todos os empregados, e atrasam os processos, por exemplo quando as transferências de dados são bloqueadas. Eles atiram uma chave de porcas para a obra.
Visto a esta luz, o resgate não só se está a tornar um modelo de negócio lucrativo no cibercrime de baixo risco – mas também uma sabotagem global da economia e do Estado. No entanto, se já têm ou não um impacto no crescimento económico global, é bastante especulativo.
Uma ameaça à democracia?
Cada vez mais, a BSI está preocupada com o facto de os resgates e outro malware não estarem apenas a atacar as empresas, mas também a ameaçar a segurança pública. Os sinais já lá estão:
“Uma nova situação de ameaça ocorreu no ano passado devido a incidentes em que cibercriminosos ou actores estatais atacaram especificamente empresas e autoridades do sector da saúde. Ao contrário do que aconteceu no início da pandemia, o BSI observou ataques informáticos direccionados relacionados com a COVID-19 em áreas-chave do sector da saúde no actual período de referência. Estes incluem, por exemplo, o ataque à Agência Europeia de Medicamentos (EMA), ataques a fabricantes estrangeiros de vacinas, um ataque DDoS ao portal de vacinação COVID-19 do estado alemão da Turíngia e um ataque de resgate a um fabricante alemão de testes de antigénios COVID-19”.
Um caso de destaque é também um ataque a um hospital universitário na Renânia do Norte-Vestefália, que sofreu interrupções temporárias do sistema devido a um incidente de resgate e não pôde admitir novos pacientes de cuidados intensivos durante 13 dias. O hospital em questão pode ter sido o hospital de Düsseldorf. Também afectado foi o aeroporto de Saarbrücken, cujos sistemas informáticos estiveram em baixo durante algum tempo no decurso de um ataque há quase um ano.
O BSI especula que os resgates também podem constituir uma ameaça para a democracia se atacarem o ambiente eleitoral. Por exemplo, “um ataque de resgate contra uma cidade ou administração municipal pode causar atrasos na condução ou contagem da eleição se, por exemplo, as comunicações por correio electrónico não estiverem disponíveis devido ao ataque”. Isto poderia prejudicar a confiança nos processos eleitorais, tornar-se parte de uma operação de manipulação e tornar difícil ou impossível a implementação de sistemas electrónicos de votação.