Todos os dias acordamos com notícias de novos ataques a órgãos públicos e empresas privadas. Este mês, os media têm ecoado ataques relevantes como o Colonial Pipeline, o Health Service Executive (HSE) da Irlanda, entre outros. Na verdade, desde 2019, mais de 2.100 empresas em todo o mundo relataram que sofreram ataques de ransomware por mais de 33 grupos cibercriminosos organizados, como Conti, Maze, DoppelPaymer, DarkSide, Sodinokibi (REvil), Avaddon, RansomEXX, DarkTracer, DoppelPaymer ou Babuk.
O problema não se limita a um número específico de países, mas estende-se por todo o planeta a ponto de precisar de ser enfrentado globalmente; hoje, é impossível para um Estado, uma entidade ou uma empresa combater um crime cibernético por conta própria uma vez que estamos numa guerra assimétrica onde os grupos criminosos estão um passo à frente. Poderíamos dizer, seguindo o símile bélico, que os combates são realizados num campo de batalha diferente daqueles que eram conhecidos até agora. Por outro lado, constatamos que os ataques cibernéticos são um dos negócios mais lucrativos da atualidade e têm levado as máfias a se reconverterem, deixando de lado outras atividades criminosas, principalmente porque este tipo de atividade lhes dá uma segurança que outras as atividades criminosas não proporcionaram devido a múltiplos fatores.
O primeiro fator é a facilidade de movimentar os lucros obtidos com o crime cibernético de forma anónima, a que se acrescenta, através de criptomoedas, a rapidez e a segurança. As criptomoedas permitem realizar extorsões de forma segura e anónima e levou à maioria, senão à totalidade, das chantagens de ataques de ransomware que exigem pagamento em criptomoedas, atingindo pagamentos em valores superiores a vários milhões de dólares, depois de negociados os resgates.
A possibilidade de realizar ataques a todos os tipos de alvos de países onde a segurança jurídica ou a repressão deste tipo de crime é nula ou muito fraca, é um segundo fator a ter em conta. Encontramos, inclusive, Estados que se aproveitam desse tipo de gangues criminosos para atacar os interesses económicos de países rivais com fins geopolíticos, dando-se o caso de alguns dos grupos criminosos que realizam ataques serem apoiados por fundos de governos e os seus interesses não são políticos quanto económicos para enfraquecer a economia de um país vizinho através do ataque às suas empresas.
Muitas armadilhas para superar
Um terceiro fator é a colaboração entre os Estados para o combate a este tipo de grupos criminosos ainda não é suficientemente potente a nível global, visto que os obstáculos a serem superados são muitos. Entre eles podemos destacar que, por um lado, muitas vezes a partir de onde é que o ataque é originado ou de onde a infraestrutura para os realizar é mantida, levando a que o crime seja geralmente processado de forma negligente; há casos em que os criminosos que praticam esse tipo de ataque podem estar num terceiro país que não aquele que mantém a infraestrutura. Além disso, o cibercrime tornou-se tão profissional que, muitas vezes, quem realiza o ataque não é o dono do software, mas utiliza-o como um serviço; se já é difícil combatê-lo num país, é muito mais complexo tentar impedi-lo o cibercriminoso e lidar com várias leis totalmente diferentes e, até mesmo, com interesses políticos diferentes.
Em quarto lugar, deve-se destacar que este tipo de crime se profissionalizou. O cibercrime funciona com uma estrutura em pirâmide onde aquele que gera o ransomware ou malware, ou seja, um tipo de ataque, o disponibiliza em modo RaaS (Ransomware-as-a-Service) para outros grupos criminosos ou pessoas que realizam os ataques a alvos ou vítimas. Posteriormente, a recompensa ou o benefício desse ataque é distribuída entre os diferentes atores, onde todos beneficiam, claro, do anonimato da Darknet. A situação faz lembrar os filmes ‘Ocean’s Eleven’, onde diferentes atores com qualidades diferentes se juntam para cometer o golpe e, uma vez obtido o benefício, distribuem-no e separam-se até ao próximo golpe.
Como combater a cibercriminalidade
Uma vez definidos alguns dos pontos que explicam porque é que o crime cibernético está a viver o seu momento áureo, devemos analisar o que podemos fazer para tentar combatê-lo num mundo onde estamos claramente a caminhar para uma transformação digital em todos os aspetos da vida e devemos contar que existe um “Cyber Wild West” presente entre nós.
A primeira coisa a ter em mente é que existe um novo cenário, a Darknet, onde os criminosos cibernéticos se movem como um peixe na água. Para isso, é necessário promover Targeted Threat Intelligence, ou seja, a inteligência cibernética dos órgãos competentes, bem como de empresas especializadas que colaboram tanto com empresas privadas como com órgãos públicos. Devemos detetar os criminosos, sejam eles um grupo ou um indivíduo, antes que façam o ataque, é melhor prevenir do que remediar; tem que ser um trabalho de cooperação público-privada entre países que realmente querem combater este tipo de crime, que é o mais perigoso. Atualmente, sabemos que alguns Estados não o farão por estarem interessados neste tipo de grupo do cibercrime.
Em segundo lugar, temos que pensar que todos os ataques começam com o elo mais fraco da cadeia, que é o humano, e na rede há atualmente informações suficientes sobre cada pessoa para explorar essa fraqueza através de engenharia social, consciencializando as pessoas sobre boas práticas de uso (aplicações, email, navegação na web, etc.) que baixam a carga viral e evitarão muitos ataques potenciais; isto, é claro, está associado às medidas de segurança que as empresas implementam e que devem estar focadas no conceito Zero Trust, principalmente na sociedade atual, onde o teletrabalho veio para ficar.
Como terceira ação, é necessário analisar onde estão a ser obtidos mais benefícios nos crimes cibernéticos; possivelmente está na criptografia de dados através de ransomware, já que é solicitado um resgate por uma chave de desencriptação ou, na falta disso, se não pagar o referido resgate, é chantageado com a publicação dos dados em fóruns públicos para provocar danos reputacionais ou económicos ao alvo. Assim, aprimorar as técnicas de criptografia para documentação sensível ou confidencial de uma organização deve ser uma prioridade atual; o melhor é dificultar ao máximo o criminoso para que ele não possa aceder ao que está à procura e – se conseguir aceder – que não o consiga utilizar. Não nos esqueçamos que este é um negócio e os cibercriminosos não vão perder tempo a roubar informações de um site que apresenta grandes dificuldades se têm centenas de milhares de alvos mais fáceis.
Ciberinteligência preventiva
7 de maio de 2021 pode ser uma data que muitos cibercriminosos não esquecem facilmente, já que houve um ataque de ransomware à Colonial Pipeline, uma empresa americana que distribui petróleo ao longo da costa leste dos Estados Unidos, transportando dois milhões e meio de barris diários e fornece 45% do combustível consumido na costa leste do país. O impacto deste ataque fez com que parte dos seus sistemas tivessem que ser desligados para evitar a disseminação do ransomware, o que levou à falta de serviço desta empresa aos seus clientes e à declaração de estado de emergência em 18 estados dos Estados Unidos da América. Este incidente gerou pressão a nível político para que os países onde existem redes de ransomware tomem medidas para fechar essas infraestruturas e tentar impedir os cibercriminosos.
O grupo de ransomware DarkSide, que iniciou as suas operações em meados de agosto de 2020 e fornece Ransomware como serviço, foi identificado pelo FBI como o autor do referido ataque; o DarkSide foi responsável, no último ano, por ataques a empresas como a Companhia Paranaense de Energia (Copel) no Brasil, a fornecedora MSP Compucom nos EUA e a canadiana Discount Car and Truck Rentals, entre outras.
As pressões realizadas para combater o crime cibernético fizeram com que o grupo DarkSide perdesse o acesso a parte da sua infraestrutura, como blog, servidores de publicação de dados, gateways de pagamento e os seus servidores de replicação, devido à ação policial que fez com que fechasse o seu serviço RaaS aos seus colaboradores.
Isto dá-nos uma ideia de como combater esta nova geração de crimes cibernéticos, onde é necessário um envolvimento real de todos os países, já que os cibercriminosos atuam a nível global e, principalmente, aplicam inteligência cibernética preventiva.
Com isso, fora das medidas tradicionais de segurança que qualquer organização deve implementar ao nível da tecnologia IT / IoT / OT, é importante apostar no investimento em dois pilares: no ser humano e nas informações ou dados da empresa, que são as duas joias da coroa de qualquer empresa; dessa forma, podemos tornar as coisas um pouco mais difíceis para os cibercriminosos e seremos menos atraentes para nos atacar. Enquanto isso, devemos aprimorar a inteligência cibernética para tentar saber se eles nos vão atacar antes que o façam.