Blog de Notícias

O ataque sofrido pelos sistemas da Colonial Pipeline, uma das maiores empresas de distribuição de combustível dos Estados Unidos, acendeu um alerta vermelho em todo o mundo. As discussões e alertas quanto a golpes contra infraestruturas essenciais, como gasolina, energia e água, são constantes, mas poucos foram os casos em que os reflexos foram tão reais como os vistos pelos americanos, que se depararam com bombas vazias, alta de preços e grandes filas nos postos em meados deste mês de maio, com a situação vindo a se normalizar apenas na última semana.

Um paralelo direto, inclusive, pode ser feito com o Brasil. Lá fora, o grupo cibercriminoso Darkside assumiu a autoria do ataque e chegou a quase pedir desculpas, afirmando que seu intuito era exclusivamente financeiro, sem intenção de gerar reflexos tão negativos sobre a vida dos cidadãos. O bando também foi o responsável por dois incidentes brevemente comentados no noticiário nacional, quando em fevereiro, os sistemas das estatais Eletrobras e Copel foram atingidos por ransomwares da mesma autoria, mas sem os graves impactos e interrupções vistos nos EUA.

Números do mercado apontam para um alerta que deve ser cada vez maior. De acordo com dados publicados em abril pela Sophos, empresa especialista em segurança digital, há uma queda no número de ataques sofridos pelas empresas brasileiras, com 38% delas sendo vítimas no primeiro trimestre de 2021 (eram 67% em 2020). Ao mesmo tempo, entretanto, aumentou a sofisticação dos golpes e também a eficácia deles, tornando o ambiente, como um todo, muito mais perigoso.

“Está ocorrendo uma mudança no comportamento dos invasores, com uma evolução das abordagens”, explica André Carneiro, diretor da Sophos no Brasil. “Os ataques automatizados, generalizados e em grande escala foram substituídos por [golpes] direcionados, buscando a interrupção de serviços críticos e o consequente sucesso na extorsão destes clientes, que também têm mais poder de pagamento.”

Essa poderia, muito bem, ser uma descrição do incidente sofrido pela Colonial Pipeline, que, diante das interrupções, se viu pagando um resgate no valor de US$ 4,4 milhões na esperança de ter seus sistemas devolvidos pelos criminosos. A informação foi confirmada pelo CEO Josh Blount em entrevista ao Wall Street Journal, e foi a razão para o restabelecimento rápido da distribuição de combustível na costa leste dos EUA, comemorado pelo presidente americano Joe Biden no último fim de semana. Aqui, também, estamos falando de um precedente perigoso.

Fatura salgada

Até agora, a recomendação de especialistas em segurança corporativa é de que os resgates pedidos pelos cibercriminosos não sejam pagos — de acordo com dados da Sophos, apenas 65% das empresas que realizaram esse tipo de acerto efetivamente tiveram suas estruturas devolvidas pelos bandidos. Ainda assim, em muitos casos, os valores na casa dos milhões de dólares em criptomoedas pode ser um preço baixo a pagar por uma retomada rápida, principalmente quando falamos em empresas de infraestrutura.

“Pagar o resgate pode se tornar uma decisão razoável, do ponto de vista dos negócios”, aponta Marty Edwards, vice-presidente de segurança em tecnologia operacional da Tenable. Por outro lado, ele aponta que, com isso, se cria um círculo vicioso no qual cada vez mais grupos atacantes verão lucro nesse tipo de ataque, produzindo novas pragas que atingirão mais empresas. “Essa é uma tendência que veio para ficar, mas precisamos encontrar um meio de interromper essa sequência e reduzir o sucesso dos cibercriminosos.”

Um levantamento feito pela Tenable comprova essa visão e coloca, globalmente, o setor de indústria como o segundo mais atingido por ataques direcionados em todo o mundo, ficando atrás apenas dos serviços financeiros. E nesse quesito, setores de infraestrutura como óleo e gás, energia e fornecimento de água são os maiores alvos.

No caso da Colonial Pipeline, chamou a atenção, ainda, o tom apolítico adotado pelos responsáveis, indicando que o Darkside não trabalha em prol de governo algum e estão em busca, apenas, de ganhos financeiros. Citando sua experiência de 15 anos no mercado de segurança em tecnologias industriais, Edwards concorda com a ideia de que, no fim das contas, para estes agentes, o que vale mesmo é o dinheiro. “Nações rivais podem ter motivações diferentes, mas para os criminosos, o que importa mesmo é maximizar os lucros da forma mais rápida e simples possível.”

O que nos leva à situação brasileira. Afinal de contas, nosso país não possui rivalidades claras com outras nações do ponto de vista da guerra cibernética, mas, ao mesmo tempo, a ausência de fins políticos pode nos tornar um alvo. Para Edwards, a riqueza natural de nosso país caminha lado a lado com a dependência de infraestruturas básicas, como redes de internet, água e energia estatais ou legadas. “É natural que organizações criminosas olhem para o Brasil como alvo”, completa.

Prova disso é que, após os ataques à Eletrobras e Copel, o Darkside já confirmou ter os brasileiros na mira mais uma vez. Como parte de um esforço de transparência que serve para mostrar que seus fins são, efetivamente, apolíticos, os criminosos indicaram estar trabalhando em pelo menos três novos ataques de ransomware, sendo um deles a contra uma revendedora de produtos de energia renovável. Cerca de 400 GB de dados já teriam sido extraídos dessa empresa, cujo incidente não havia se tornado público até o momento de publicação desta reportagem.

Entre o foco cada vez mais direcionado dos cibercriminosos e a busca por ganhos financeiros rápidos, a realização de ataques, para as empresas, parece ser uma questão de “quando vai acontecer”, e não de “se vai”. Nesse sentido, nosso país se encontra avançado em alguns pontos e altamente deficientes em outros, ainda que, de maneira geral, o panorama não seja dos mais negativos.

Brasil entre evolução e atraso

Carneiro cita dois grandes pontos de risco muito preocupantes em nosso país, que podem levar a uma escalada dos ataques contra as infraestruturas nacionais. Um deles é o uso de sistemas legados, que rodam softwares e sistemas operacionais antigos e descontinuados. Ele aponta, por exemplo, a existência de computadores com Windows XP e bancos de dados rodando Windows Server 2003 em muitas companhias nacionais, todos desatualizados e suscetíveis a ataques.

“O uso de soluções tradicionais de proteção já não é suficiente e não basta apenas que as empresas renovem tais softwares”, completa o diretor. Na visão dele, é preciso que as companhias trabalhem com sistemas de inteligência de ameaças, análises e adicionem mais camadas de segurança, de forma que vetores de entrada de malwares sejam controlados e interrompidos.

Já para Arthur Capella, country manager da Tenable para o Brasil, todo o trabalho de segurança no setor industrial deve passar por uma sinergia maior entre os setores operacionais e de TI. Para ele, não é suficiente que apenas um dos lados dessa moeda esteja protegido, já que a maioria dos ataques que travam infraestruturas envolvem o movimento lateral de malwares pelas redes, a partir de um vetor de entrada.

“Temos diferentes níveis de maturidade em várias empresas, mas vejo uma evolução geral do Brasil nessa integração em prol da cibersegurança”, explica o executivo. Na visão dele, há um avanço já que há cinco anos esse nem mesmo era um assunto, enquanto a proteção das redes se limitava a sistemas nos computadores dos funcionários. “Falar em segurança era falar em controle de acesso físico e elementos como catracas ou portas trancadas. Vejo que [isso] está mudando, principalmente nos setores mais visados, mas ainda há um longo caminho a seguir.”

De acordo com dados da Tenable, 75% das ameaças exploradas em ataques de ransomware partem de vulnerabilidades já conhecidas, enquanto 60% deles se movimentaram lateralmente pelas redes das companhias, aumentando o vetor de ataque, antes de entrarem em ação. Os elementos para essa proteção maior parecem envolver elementos contrastantes entre si, com a necessidade de maior integração andando ao lado de uma maior compartimentalização dos sistemas. Na prática, entretanto, não é tão simples assim.

“Companhias com melhor segmentação têm maior visibilidade do que está acontecendo nas redes, sendo capaz de isolar ambientes contaminados sem danos maiores a toda a rede”, explica Edwards. Ao mesmo tempo, aponta Capella, um diálogo mais próximo entre os setores operacionais e de TI ajuda a entender quais são os sistemas mais críticos e que merecem maior atenção, bem como a configurar essa separação de forma que todos os processos não precisam ser desligados em caso de ataque.

Todos os especialistas ouvidos pela reportagem concordam em uma coisa: não é possível ter garantia total de que uma companhia está livre de ataques, mas é possível dificultar a entrada dos criminosos e fazer com que, caso eles consigam, tenham menor alcance dentro da infraestrutura. Um sistema completamente seguro é uma utopia, mas, para eles, é possível chegar bem perto disso.

“A única forma de se proteger completamente contra ataques é desligar toda a tecnologia”, aponta Capella. Ele faz uma referência histórica para explicar a situação atual, apontando que, assim como no caso da tecnologia de computação na nuvem, sistemas remotos e quase toda inovação, existem inúmeros benefícios para as empresas, que trazem alguns riscos. “Boas práticas funcionam em qualquer lugar do mundo e é preciso desenvolver produtos, projetos e capacitação para que os ambientes tenham um nível de proteção que desestimule os ataques”, completa.

Já Carneiro aponta a transparência e a sinergia com o mercado diante de vulnerabilidades como caminhos importantes para evoluir o mercado como um todo. “É fundamental que as empresas tenham a consciência de que não é vergonhoso assumir que sofreram um ataque. Esse é um sinal da busca pelo crescimento e maturidade em segurança, com esse reconhecimento servindo para uma preparação mais adequada em um futuro no qual [os golpes] serão cada vez mais modernos e eficientes.”

Fonte: Canaltech

« Voltar