Bastidores da Missão Crítica: o ransomware, o resgate e um "quase" prejuízo extra
Além do sequestro digital dos dados e da falta de backup, empresa quase caiu em outro golpe, de empresas que prometem o impossível serviço de descriptografia
Flowti*
Em outubro de 2021, bem no meio da pandemia do coronavírus, houve um grande ataque de ransomware a uma empresa no interior de São Paulo. O cibercriminoso invadiu o sistema da empresa responsável por coletar os dados sobre Covid-19 junto à rede do Sistema Único de Saúde (SUS) e transmitir para o informe epidemiológico municipal - para atingir a prefeitura, seu verdadeiro alvo.
Fomos informados sobre o ataque e imediatamente me desloquei até a cidade do cliente para apoiá-los. Foram 15 dias de trabalho intenso nessa empresa, sendo que os primeiros 5 foram exaustivos.
Nesse tipo de situação, a equipe de resgate - isso mesmo, resgate, já que o ransomware é um sequestro de dados - deve entrar em contato com o cibercriminoso e iniciar as negociações.
O gerente de TI da empresa, questionou se era possível descriptografar os arquivos de outra forma, sem o intermédio do atacante. Expliquei que isso era impossível, porque existe apenas uma chave criptográfica capaz de liberar os dados - e ela fica em posse de quem criou o ataque.
Mesmo assim, pressionado pela situação, ele decidiu pesquisar sobre o assunto no Google e encontrou três empresas que diziam fazer o trabalho. Mandou e-mail para todas, pedindo um orçamento, e enviou as informações que tinha sobre o ataque - incluindo o próprio arquivo do ransomware, atendendo aos pedidos dos falsos prestadores de serviço.
As empresas, então, entraram em contato com o cibercriminoso sem avisar o nosso cliente. Descobrimos isso por intermédio do próprio atacante, que nos ameaçou dizendo que se mais empresas, além de nós, entrassem em contato com ele, os arquivos seriam deletados.
Agora eu preciso explicar por que essas pretensas empresas que dizem serem capazes de descriptografar um ataque de ransomware são, na verdade, mais um agente da cadeia do cibercrime. Elas entram em contato com o cibercriminoso questionando quanto ele quer pelo resgate. Supondo que o valor seja de R$ 200 mil. Na sequência, o “especialista” liga para o cliente, diz que consegue descriptografar os arquivos - mas que o valor para fazer isso é R$ 400 mil ou R$ 500 mil.
Na cabeça da vítima, não houve pagamento pelo sequestro. Mas além de haver, ela pagou uma comissão exorbitante para o intermediário.
A porta de entrada
O ransomware entrou via o computador pessoal de um colaborador. A máquina era conectada à rede corporativa via VPN.
O ransomware se instalou no servidor de AD (Active Directory), que é o de usuários e senhas, e criou um login próprio, ficando "livre" pelo sistema. Aqui vale um adendo: muitas vezes, as empresas não controlam o AD de forma apropriada, tornando esse ambiente uma brecha importante.
Estando nas entranhas da empresa, o cibercriminoso faz uma varredura: o que a instituição faz, quais são os clientes. Conhece os servidores, usuários, e vai se movendo pelo sistema de forma silenciosa, contaminando as máquinas que compõem a rede - o que chamamos de Ataque de Movimento Lateral - até encontrar o seu objetivo. Neste caso, dados essenciais, de grande valor, que são, então, "sequestrados" via criptografia.
Uma vez em posse dos dados, o atacante entra em contato com a vítima pedindo resgate, pago em criptomoeda.
Se a empresa tem um backup válido, atualizado, acessível e apartado da rede principal, ela pode ignorar o sequestrador e mover sua operação para outro ambiente. Mas, no caso desta empresa, o servidor de backup estava na mesma rede e também foi atacado. Não havia o que fazer.
Se o cliente formatasse os servidores de produção, a empresa iria retroceder três anos. Por isso, a única saída foi pagar pelo resgate. Aliás, eu venho de nove ataques com a Flowti e esta foi a única empresa que efetivamente teve de pagar. A polícia, naturalmente, foi envolvida e colaboramos com o que nos coube na investigação.
Por fim, é bom lembrar: a gente não pode confiar em criminosos. Isso é um sequestro digital e você não sabe se o atacante vai devolver tudo – ou apenas alguma coisa. Nesse caso que foi relatado, seis servidores foram atacados e o criminoso devolveu cinco. A sorte é que foi possível fazer uma engenharia reversa no que faltava, para resolver o problema. Mas ele poderia ter devolvido só dois, por exemplo, o que resultaria em um prejuízo incalculável, ou até mesmo, o fechamento da empresa. A empresa atacada não tem vínculo com o criminoso, não existe garantia. Quando a vítima paga, não tem como rastrear onde o atacante está, porque ele é pago em criptomoeda, que não é rastreável. Ele pode estar no escritório ao lado ou em outro país. Infelizmente não tem como saber.
Dá para entender por que investir em segurança de dados sai mais barato? Pois é.
*Depoimento coletado de um colaborador da Flowti