Existem muitos motivos pelos quais especialistas em segurança aconselham empresas a não pagar pelo resgate para recuperar dados criptografados após um ataque de ransomware. Por exemplo: desembolsar milhões de dólares para voltar a ter controle sobre os dados violados pode parecer a atitude mais indicada, mas, ao mesmo tempo, é justamente essa disposição para o pagamento de valores exorbitantes que estimula os ataques por parte de gangues de ransomware e outros cibercriminosos.
E, recentemente, pesquisadores descobriram mais um motivo – particularmente atraente para os criminosos – com o qual as vítimas de alto escalão tiveram de lidar recentemente: o processo de descriptografar os dados pode ser tão difícil e lento que acaba não oferecendo um caminho prático para a recuperação efetiva desses dados.
Conforme relatado em um post da Bleeping Computer, vítimas recentes de dois grandes ataques de ransomware aprenderam essa lição da forma mais difícil.
Um deles foi o hack que interrompeu as atividades da Colonial Pipeline – oleoduto dos Estados Unidos – no início de maio. A Colonial recebeu um descriptografador depois de concordar – e pagar – um resgate estimado em 4,4 milhões de dólares, na esperança de que o pagamento proporcionasse um atalho para a retomada de suas operações e o retorno à normalidade.
Mas, quando a empresa acionou o descriptografador para restaurar os dados comprometidos, chegou a uma conclusão nada feliz: o aplicativo de descriptografia fornecido pelos invasores da Colonial era tão lento que a empresa conluiu que a restauração manual dos backups seria necessária e mais efetiva.
No segundo incidente mapeado pela Bleeping Computer, o ransomware Conti, que infectou o Health Service Executive, um órgão irlandês que “oferece saúde pública e serviços sociais a todos que vivem na Irlanda”, gerou repercussão semelhante.
Percebendo que havia atingido um provedor de serviços de saúde, e seguindo uma espécie de “código de ética” entre cibercriminosos, onde acordou-se que, durante a pandemia, instituições de saúde seriam poupadas de ciberataques diversos, a gangue ofereceu um descriptografador sem nenhum custo.
Quando o HSE testou o descriptografador, no entanto, descobriu que era lento demais para ser usado. Para auxiliar a instituição a retomar suas atividades, a Emsisoft, fornecedora de soluções de segurança com sede na Nova Zelândia, desenvolveu seu próprio descriptografador personalizado, que supostamente funcionava duas vezes mais rápido – e lançou uma arma de combate a essa ameaça crescente.
Como as gangues de ransomware devem responder
Um dos principais motivos pelos quais o ransomware se transformou em um empreendimento criminoso de valor estimado em um bilhão de dólares é que as gangues de ransomware administram suas operações como empresas – isto é, com logística de negócios multinacionais.
Por exemplo, os criminosos entenderam que era fundamental que o software de descriptografia funcionasse conforme prometido – caso contrário, suas vítimas teriam muito pouca motivação para pagar os valores gritantes.
Eles frequentemente se ofereciam para descriptografar uma seleção de arquivos essenciais sem nenhum custo, para provar que podiam entregar o que prometiam e ganhar a confiança das vítimas.
Analisando o histórico dessa transações, no entanto, os descriptografadores estão longe de serem perfeitos. Alguns não davam conta de arquivos muito grandes, outros do grande número de arquivos criptografados. E teve ainda os que causaram tal estrago que tornaram os dados das vítimas irrecuperáveis.
Mas, com as vítimas começando a perceber que a solução de se apoiar nos descriptografadores das gangues de ransomware não aceleram, necessariamente, a recuperação dos dados comprometidos e a normalização de suas atividades, as gangues de ransomware podem muito bem resolver que melhorias são necessárias, a fim de se assegurar que continuarão operando.
A ascensão dos ataques de extorsão
Porém, o ransomware ascendeu ao status de negócio. E, portanto, no fim das contas, cabe a eles decidir como manterão seus empreendimentos lucrativos.
Os cibercriminosos podem, por um lado, não se sentir compelidos a gastar tempo ou energia em seus decodificadores. Afinal, o poder de barganha de uma ameaça de vazamento de dados sensíveis é inegável.
Além disso, a maioria das gangues de ransomware já consolidadas, hoje, contrata uma apólice de seguro quando violam a rede de uma vítima, para não correr o risco de perderem esse poder de barganha.
Outro ponto que vai contra a ideia de que pagar pelo resgate é o melhor caminho é que, em vez de simplesmente criptografar os dados, eles também podem subi-los furtivamente em seus próprios servidores. Uma vez nas mãos dos criminosos, esses dados podem ser vazados seletivamente para extorquir a vítima. Alguns extorsionários estão inclusive usando dados roubados para extorquir clientes ou fornecedores da vítima – como ocorreu com a Apple, após invasores sequestrarem os dados de um de seus principais fabricantes.
Sim, os criminosos prometem destruir os dados se as demandas forem atendidas, mas que garantia real as vítimas têm de que nenhuma cópia foi feita ou de que os arquivos sensíveis foram realmente excluídos com segurança – e que ninguém, nunca mais, terá acesso a eles?
A conta não fecha. No fim, faz muito mais sentido investir proativamente para se preparar para esses ataques e evitar surpresas e danos graves. Invista em um sistema de backup confiável e seguro. Não economize nas defesas de perímetro e endpoint. Tenha um plano completo de resposta a incidentes. Supervisione todas as superfícies de ataque. E, sobretudo, não subestime o poder que cibercriminosos têm de ultrapassar mesmo as camadas de segurança mais robustas. Todo o cuidado é pouco.
Quer saber como a Compugraf pode ajudar sua empresa e seus colaboradores a não serem vítimas de ataques como ransomware, phishing e outros? Consulte nossas soluções de segurança ou entre em contato! Nossos especialistas certamente poderão te ajudar!
