Dez anos atrás, quando os ataques de ransonware – o sequestro de dados em troca de resgate – começaram a ganhar força, havia apenas um punhado dessas ameaças no ciberespaço e os hackers seguiam um modus operandi. “Naquela época, as organizações que pagassem, costumavam receber seus dados de volta”, diz Oyku Isik, professora de estratégia digital e cibersegurança na IMD Business School, sediada na Suíça. Nos últimos dois anos, porém, com a entrada de novos personagens em cena, os casos se multiplicaram e o padrão mudou.
Essa mudança de comportamento se deve, principalmente, à ação dos “afiliados”. “Eles não são hackers. São criminosos comuns que se separam depois de ganhar dinheiro com um ataque cibernético”, explica Isik.
Os afiliados compram os vírus dos hackers e se encarregam de infectar os sistemas da vítima. É o chamado RaaS (ransonware como serviço), uma imitação do modelo padrão na indústria de tecnologia, a do software como serviço ou SaaS. Uma vez codificados, os dados ficam inacessíveis e só são liberados com uma chave digital. O resgate é dividido, mas os afiliados não entram na gangue ou seguem suas orientações. Pelo contrário, com frequência cada vez maior, acabam se insurgindo contra os parceiros de crime.
Um episódio ocorrido em janeiro do ano passado ilustra a situação, diz a professora. Depois do ataque a um hospital infantil no Canadá, o LockBit – então a maior quadrilha de ransonware do mundo – divulgou um pedido de desculpas, afirmando não ter sido responsável pelo episódio. O grupo, que se comprometera a não prejudicar hospitais, atribuiu o ataque a um afiliado rebelde e ofereceu a chave de decodificação para que as informações fossem recuperadas.
Essa nova dinâmica aumenta as incertezas sobre o destino das informações roubadas. A vítima não sabe com quem está negociando e, mesmo que pague, é provável que entre numa lista de lista “bons pagadores” e volte a ser atacada.
As fissuras entre cibercriminosos ocorrem pelos mais diversos motivos, incluindo posições políticas ou ideológicas. “À medida que os grupos crescem, as divergências também aumentam”, observa Isik.
Quando a Guerra da Ucrânia começou, conta a professora, membros de um grupo de ransonware deu demonstrações públicas de apoio ao presidente russo Vladimir Putin. Irritada, outra parte, que era pró-Ucrânia, divulgou o código-fonte do vírus, permitindo que pesquisadores criassem um antídoto e tornassem inócuos eventuais ataques.
“Existem divergências culturais e políticas nesses grupos. Então, não podemos confiar [que as quadrilhas cumprirão o prometido]. Idealmente, nenhuma organização deveria pagar [resgate], mas as empresas não podem estar despreparadas. Essa não é uma opção”, afirma Isik.
Cientista da computação com graduação e pós-graduação pela Universidade Bilgi de Istambul, na Turquia, onde nasceu, e PhD pela Universidade do Norte do Texas, nos Estados Unidos, Ysik vive atualmente em Londres e é um expoente da chamada resiliência digital. A expressão significa que a despeito de todos os esforços para evitar falhas de segurança,
Só neste ano, a expectativa é que os gastos com cibersegurança atinjam US$ 215 bilhões no mundo, com aumento de 14,3% em relação ao volume de 2023, de US$ 188,1 bilhões, segundo a consultoria Gartner. A previsão é que áreas como privacidade de dados e segurança em nuvem terão aumento superior a 24%.
Apesar do investimento maciço, a previsão é que os danos continuarão a aumentar, como tem ocorrido nos últimos anos. Pela primeira vez, os ataques de ransonware renderam aos hackers mais de US$ 1 bilhão em 2023, segundo a Chainalysis, empresa de análise de blockchain. Nos EUA, essas invasões cresceram 74%, com 2.825 casos, divulgou o FBI.
A maioria das empresas não parece preparada para reagir à altura, como mostra um estudo do Fórum Econômico Mundial: 61% das organizações consultadas disseram que só atendem aos requisitos mínimos de resiliência digital ou não os atendem de forma alguma.
“Nenhuma organização consegue ter 100% de segurança, então os esforços também deveriam incluir o investimento para lidar com o incidente cibernético. Esse é o princípio central da resiliência digital”, diz Isik.
A questão pode determinar a vida ou a morte de uma companhia. Em 31 de dezembro de 2019, a Travelex, empresa britânica de câmbio, foi atacada por um grupo de ransonware chamado Sodinikibi, o mesmo nome do vírus usado para infectar a companhia. À época, os hackers disseram à BBC que haviam sequestrado 5 gigabytes de dados pessoais dos clientes, incluindo números de cartão de crédito. Os criminosos também disseram que já fazia seis meses que os sistemas haviam sido invadidos e estavam sob monitoramento. O pedido de resgate teria sido de 4,6 milhões de libras.
A princípio, a Travelex ocultou o incidente, diz Isik. Nos sites da companhia, que saíram do ar, apareciam mensagens de que o sistema estava em manutenção planejada ou em processo de atualização. Só mais tarde a Travelex admitiu que fora atacada.
Os efeitos do ataque, associados às dificuldades provocadas pela covid-19, acabaram levando a companhia à insolvência. Em agosto de 2020, a Travelex anunciou a demissão de 1,3 mil pessoas. O controle passou às mãos de um grupo de credores, que adquiriu as operações no Reino Unido e em outros países, inclusive no Brasil.
Seguiu-se um processo de reestruturação, com mais demissões e uma reformulação completa da administração. A PwC, que cuidou do processo, ressaltou em relatório que o ransonware foi um dos principais responsáveis pela queda da Travelex.
Atitude muito diferente teve a Norsk Hydro – companhia norueguesa de alumínio e energia renovável -, que conseguiu resultados muito melhores. Em março de 2019, a empresa foi atacada por hackers, que codificaram áreas essenciais de tecnologia. Para liberar o acesso, os criminosos exigiam um resgate em bitcoins. Em vez de esconder o problema, como fez a Travelex, a Norsk Hydro passou a informar, publicamente e em detalhes, o que estava fazendo para evitar os danos.
As medidas incluíram webcasts diários para responder às perguntas do público e conferências de imprensa periódicas, com os jornalistas acompanhando os trabalhos nas salas de operação. A empresa se recusou a pagar o resgate e assumiu a tarefa de se livrar do problema, o que incluiu a volta a processos manuais e a contratação de equipes de segurança
“Foi uma comunicação frequente e muito honesta. Como exercício de ‘branding’, foi muito interessante”, diz Ysik. Ao fim, o ataque provocou perdas de US$ 70 milhões, mas em vez de sair com a reputação arranhada, a Norsk Hydro tornou-se um exemplo de transparência.
O episódio também mostra como o elemento humano é importante para qualquer política de cibersegurança. O vírus foi inoculado na rede da Norsk Hydro depois de um único funcionário clicar em um e-mail infectado, que fora enviado por um cliente considerado confiável.
Essa é uma técnica de engenharia social, que usa elementos familiares para manipular o comportamento da vítima. É o mesmo princípio usado por um tipo de crime que está se disseminando no Brasil. Gangues de adolescentes bem-vestidos estão se passando por moradores para ludibriar os porteiros e ganhar acesso ao condomínio, onde roubam apartamentos vazios.
Para Isik, que recentemente falou em um encontro virtual promovido por ex-alunos brasileiros da IMD, uma forma de se proteger é a contratação de “hackers éticos”. “São profissionais que tentam alcançar a organização por todos os meios necessários. Isso pode significar tentar enganar a recepcionista se passando por funcionário ou entrar pela janela. O ‘hacker ético’ tem uma perspectiva mais ampla sobre como encontrar as vulnerabilidades”, afirma a professora. “É uma boa ideia porque a fronteira entre o mundo físico e o digital está cada vez mais tênue.”
As empresas também devem pensar em como tratar da cibersegurança com os funcionários sob uma perspectiva psicológica, afirma a especialista. Ela está escrevendo um artigo acadêmico sobre inteligência emocional, em que aborda esse assunto.
“Ser enganado por hackers pode acontecer com qualquer um. O maior problema é culpar a vítima. Se um funcionário clica no link de um e-mail contaminado, ele deveria se sentir confortável em contar que cometeu um erro, sem medo de retaliação”, diz Isik. A recomendação da professora é automatizar os processos tanto quanto possível e criar um ambiente psicologicamente seguro para que, caso uma invasão ocorra, os funcionários não se sintam culpados, mas sejam parte da solução.