Ransomware no Brasil: Um panorama de 2021

Ameaças cada vez mais sofisticadas, um ano em que as empresas tiveram que passar por uma transformação digital mais acelerada devido à pandemia de Covid-19 e tentativas de invasão intensificadas foram a combinação perfeita para muitas empresas brasileiras serem afetadas por ataques cibernéticos em 2021 – grande parte delas infectadas por ransomware.

Segundo levantamento da consultoria alemã Roland Berger, o Brasil é o quinto maior alvo de crimes cibernéticos do mundo, ultrapassando o volume de ataques do ano passado apenas no primeiro semestre de 2021. Foram mais de 9 milhões de casos, diz a pesquisa.

Já a Check Point Software aponta para um aumento do número médio de ataques em geral por semana em 40%, comparando com 2020, enquanto no Brasil esse aumento foi de 62%, tendo uma média de 967 ataques por semana. Veja alguns dos casos deste ano que obtiveram maior notoriedade:

JUNHO

- O grupo Fleury sofreu um ataque em junho, reivindicado pelo grupo REvil. A empresa enviou comunicado informando que sua base de dados foi protegida, sem evidências de vazamento de informações sensíveis, restabelecendo acesso aos resultados de exames de clientes uma semana após o ataque.

JULHO

- A Cyrela Brazil Realty comunicou, no dia 31 de julho, um sábado, que houve uma alteração em seu ambiente de tecnologia foi identificada, o que indicava que um ransomware que "causou baixo impacto", segundo foi comunicado pela empresa à época, que enviou comunicado de imediato informando que as medidas de segurança foram adotadas, bem como uma ampla investigação para identificar a extensão do incidente, e que a operação da companhia não foi paralisada. Não foi divulgado o grupo responsável pelo ataque.
     

AGOSTO

- A Lojas Renner teve seu sistema infectado por um ransomware, sendo que o grupo RansomEXX/Defray777 reivindicou o ataque. A companhia afirmou ter acionado os protocolos de segurança para bloquear o ataque e minimizar os impactos, e dois dias depois restabeleceu seus sistemas. Não se sabe, contudo, se a empresa pagou pelo resgate dos dados criptografados.

Esse mesmo grupo foi responsável pelo ataque ao STJ, que analisamos num vídeo-tutorial de quatro partes. Veja a primeira:

- Também em agosto, a Accenture, atuante no ramo de consultoria de TI, foi atacada e confirmou posteriormente em seu relatório financeiro referente ao ano fiscal de 2021, finalizado em 31 de agosto, que os operadores do ransomware LockBit roubaram dados de seus sistemas.

O Ministério da Economia também foi alvo de um ataque cibernético que afetou a rede interna da Secretaria do Tesouro Nacional. À época, eles informaram que as medidas de contenção foram imediatamente aplicadas e a Polícia Federal foi acionada. Não se sabe quem foi responsável pelo incidente.

SETEMBRO

- Outros casos ao longo deste segundo semestre também foram reportados, como o Grupo Benner, que informou que foi vítima de um incidente em setembro, na madrugada, aparentemente também pelo ransomware LockBit, que criptografou os servidores de aplicação, interrompendo a operação da companhia. O acesso às estruturas dos servidores foram bloqueados como medida de proteção.

OUTUBRO

- A CVC Corp comunicou no dia 4 de outubro, em seu site de compra de passagens e também de seus parceiros, que foi vítima de um ataque cibernético no sábado, dia 2 do mesmo mês. A empresa informou que prontamente ativou seus protocolos de segurança, retomando suas operações 12 dias depois do incidente. Não foi divulgado o nome do ransomware que atingiu a companhia.

- A Porto Seguro comunicou aos seus acionistas no dia 14 de outubro que sofreu uma tentativa de ataque cibernético, ativando seus protocolos técnicos de segurança. Cerca de uma semana depois, restabeleceu praticamente todos os seus canais de atendimento. Não sabemos quem foi responsável pelo ataque.

- Por fim, a Atento talvez seja o caso mais recente - que tenhamos conhecimento. A empresa de call center identificou ameaça em um domingo de outubro e disse ter interrompido serviços para "prevenir qualquer risco aos seus clientes". Infelizmente, houve indícios de que os dados sequestrados da companhia vazaram. O autor aparentemente foi o Lockbit.

Sabe de mais algum caso? Comenta aí que adicionamos!

Como os atacantes operam

O modus operandi varia de acordo com cada grupo/afiliado de ransomware, mas ao analisar alguns casos, é possível identificar certo padrão. Por exemplo, os incidentes podem ocorrer aos finais de semana (como o caso da Cyrela, da CVC e da Atento) ou até de madrugada (conforme o ocorrido com o Grupo Benner). Isso indica que atacantes buscam o momento de menor defesa da empresa, com número reduzido de funcionários de TI e usuários em geral. "Para a maioria das empresas, certamente as chances de um ataque passar despercebido são maiores nos fins de semana ou fora do horário de expediente normal", explica Fernando Mercês, Pesquisador na Trend Micro e fundador do Mente Binária. 

Alguns grupos reivindicam os ataques, mas nem sempre isso ocorre. Não sabemos se esses casos estão relacionados a incidentes de double extortion, quando há ameaça às vítimas de que seus dados roubados podem ser vazados, além de indisponibilizar o acesso aos dados através do ransomware. Este artigo de Carlos Cabral, Pesquisador de Segurança na Tempest e responsável pelo roteiro e apresentação do programa 0News, explica como é realizada a estratégia dos cibercriminosos neste tipo de ataque.

"Phishing é coisa do passado para estes atacantes. A equipe de ataque funciona como uma equipe de pentest, só que sem escopo delimitado e com todo o tempo que precisar para invadir uma rede. Os grupos utilizam ferramentas profissionais utilizadas por pentesters como Cobalt Strike, Metasploit, Mimikatz e outras. Lembre-se: você não está se defendendo contra ransomware, está se defendendo destes grupos. É muito mais difícil", diz Fernando Mercês.

Como as empresas respondem

Vemos que a resposta a incidentes da empresa no geral é bem tempestiva, informando logo aos seus clientes e consumidores sobre o ocorrido e desligando servidores para evitar maiores estragos, suspendendo as operações por alguns dias ou momentos, da melhor maneira possível para não gerar grandes impactos.

Reforçamos aqui que as empresas não devem ser culpadas por esses ataques. Elas são as vítimas de cibercriminosos que se aproveitam de brechas muitas vezes penetradas por ferramentas sofisticadas que visam de fato invadir e causar prejuízos aos negócios. 

Sabemos o quanto os profissionais de TI e segurança da informação se esforçam para manter seus sistemas protegidos, mas não há super-heróis e é impossível garantir uma segurança 100% de todos o sistemas especialmente quando os cibercrime está aumentando exponencialmente com atacantes se especializando cada vez mais em, de fato, prejudicar os negócios de grandes companhias.

Esperamos que este artigo sirva de alerta e inspire os profissionais de defesa a procurarem reforçar a segurança e exposição de seus sistemas, principalmente contra as ferramentas mais modernas de pentest. Também é importante colocar mais energia na monitoração – principalmente fora do expediente e resposta a incidentes. "Simular um ataque de ransomware, testar o backup e se preparar é essencial. Sua empresa é alvo e vai continuar sendo. O que vai fazer a diferença é o quão preparado você está quando o ataque chegar", reforça Mercês.