.
EUN o ano passado, algumas das instituições mais reconhecidas do Reino Unido, do Guardian ao Royal Mail, foram atingidas pelo crime cibernético que define nosso tempo: o ransomware. Hackers bloqueando redes de computadores e exigindo pagamento pelas chaves para restaurá-las atrapalharam as operações e deixaram as vítimas lutando para se recuperar.
Quase todos os setores da sociedade, incluindo saúde, negócios, governo e educação, agora são alvo de gangues de ransomware que fazem demandas que chegam a dezenas de milhões. Ironicamente, apenas alguns meses antes do lançamento do meu próprio livro sobre ransomware, meu editor foi atingido por um ataque contundente, deixando meu co-autor e eu incapazes de entrar em contato com nossos editores por telefone ou e-mail.
Somente no Reino Unido, nas últimas semanas, ataques separados comprometeram registros de funcionários do NHS e e-mails confidenciais, bem como dados de mais de 1 milhão de pacientes. Nos EUA, a morte de um bebê foi atribuída a um ataque de ransomware em 2019 em um hospital do Alabama que derrubou os monitores que exibiam informações de rastreamento da frequência cardíaca fetal em um posto de enfermagem.
Então, como esse empreendimento criminoso se apoderou com tanta força? Há apenas uma década, o ransomware era um crime relativamente desconhecido que afetava principalmente os usuários de computadores domésticos. Os hackers exigiriam algumas centenas de libras em criptomoeda para a devolução de fotos de família bloqueadas e outros arquivos pessoais. Eles operavam principalmente sozinhos ou em pequenos grupos conectados online, espalhando ransomware por e-mail de spam distribuído indiscriminadamente para um grande número de possíveis vítimas – apenas uma pequena fração das quais realmente abriria os links ou anexos maliciosos.
Embora os lucros obtidos com esse modelo inicial de “pulverizar e rezar” fossem modestos, o ransomware era atraente para os hackers, que foram atraídos em parte pela natureza direta do crime. As violações de dados tradicionais eram assuntos de trabalho intensivo que exigiam que eles encontrassem compradores para registros, como números de cartão de crédito, a fim de lucrar. O ransomware tornou o próprio hack lucrativo.
Os criminosos que buscam o caminho de menor resistência correram para entrar na economia da extorsão e, à medida que o ransomware amadureceu como um negócio, as gangues começaram a se organizar de maneira que espelhava as corporações legítimas. Muitos pareciam encontrar refúgio seguro em lugares como Rússia, Coréia do Norte e Irã, mas grandes partes da Europa Oriental também se tornaram focos de operações de gangues cibernéticas, e os hackers agora operam em todo o mundo.
Os mais ambiciosos, como Ryuk e REvil, contrataram trabalhadores com experiência para colocar seu ransomware dentro de grandes organizações que tinham bolsos muito mais profundos do que os usuários domésticos – uma estratégia conhecida como “big game hunting”. Em anúncios de emprego na dark web, possíveis “empregadores” descreviam as qualificações que procuravam, como proficiência em Cobalt Strike, uma ferramenta legítima, cooptada por hackers, usada para identificar vulnerabilidades do sistema. Os anúncios pediam aos candidatos que apresentassem exemplos de seus ataques anteriores, com candidatos promissores convidados para entrevistas online.
Assim como um fabricante legítimo pode contratar outras empresas para cuidar da logística ou do design da web, as gangues de ransomware começaram a terceirizar tarefas além de seu alcance. Eles contrataram especialistas por meio da dark web para roubar credenciais e encontrar vulnerabilidades nas redes-alvo. Eles contrataram outras pessoas para garantir que seu ransomware não fosse detectado por scanners antimalware padrão. Alguns grupos até compartilharam um call center na Índia, com representantes entrando em contato com funcionários ou clientes de organizações de vítimas que não pagaram. A terceirização permitiu que as gangues se concentrassem em melhorar a qualidade de seu ransomware; e seu sucesso – assim como a devastação das vítimas – acelerou.
Então, no final de 2019, uma gangue prolífica conhecida como Maze foi pioneira em uma estratégia que tornou o ransomware mais doloroso do que nunca para as vítimas. Em uma invasão em uma empresa de segurança, a Maze baixou montanhas dos arquivos mais confidenciais de sua vítima antes de detonar o ransomware para bloquear a empresa deles. O grupo disse à empresa que vazaria os dados se não pagasse o pedido de resgate de 300 bitcoins (cerca de £ 1,8 milhão na época). A empresa não pagou e Maze vazou os arquivos.
Mas as vítimas das táticas de “extorsão dupla” de Maze muitas vezes se sentiam pressionadas a pagar. Mesmo que tivessem backups confiáveis de seus arquivos, o risco de grandes quantidades de dados confidenciais vazarem era muito grande. O esquema pegou, com dezenas de gangues seguindo o exemplo de Maze e até mesmo criando “sites de vazamento” na dark web onde outros criminosos cibernéticos ou mesmo membros do público podiam ver os nomes das vítimas e os dados roubados, de graça ou por um preço.
Ele lançou as bases para outro tipo de tática de resgate cibernético, que foi lançada contra a British Airways, a Boots e a BBC no início de junho. Desta vez, os hackers roubaram registros, incluindo nomes, endereços, números de seguro nacional e detalhes bancários, mas, em vez de bloquear as redes das vítimas, os criminosos pularam diretamente para os pedidos de resgate. Nas últimas semanas, outras vítimas do Reino Unido, como a Transport for London e a Shell, foram identificadas. O ataque global também comprometeu dados de agências governamentais dos EUA, incluindo o Departamento de Energia, entre muitas outras vítimas. Nesta última reviravolta, as vítimas novamente não têm mais a opção à prova de falhas de se proteger contra extorsionários digitais mantendo backups robustos.
Mas, apesar dos avanços nas táticas criminosas, um trabalho inovador para enfraquecer as gangues cibernéticas está acontecendo. A Holanda tem sido um local popular para hackers configurarem os servidores que usam para cometer crimes por causa de sua internet rápida e confiável. A polícia nacional holandesa respondeu lançando sua unidade de crimes de alta tecnologia em 2007. Além das prisões, a unidade priorizou qualquer coisa que reduza o retorno do investimento dos hackers, apreendendo servidores de criminosos, interrompendo botnets que espalham ransomware e notificando as vítimas de ataques iminentes.
Com a perspectiva de governos estrangeiros hostis usando ransomware como disfarce para operações de coleta de informações, o foco dos hackers no roubo de dados é mais alarmante do que nunca, e os esforços de aplicação da lei para detê-lo são mais importantes. Como George Orwell observou certa vez: “A história da civilização é em grande parte a história das armas”. Hoje, as armas digitais estão remodelando o mundo, e o ransomware representa o que pode ser a maior ameaça de todas. Os hackers estão apenas começando a explorar seu potencial de dinheiro e caos.
.
