Os ataques de ransomware são um grande negócio. No final de 2021, estima-se que um negócio será alvo de um ataque de ransomware a cada 11 segundos, causando até 20 bilhões de dólares em prejuízos. Os ataques de ransomware não são apenas uma preocupação para organizações como empresas, governos e prestadores de cuidados de saúde – eles também afetam clientes e funcionários, cujos dados são muitas vezes os danos colaterais desses tipos de ataques.
Os ataques de Ransomware são aqueles que usam malware para criptografar os dados e arquivos dos alvos. Eles diferem das campanhas de extorsão, que usam a negação distribuída de serviço (DDoS) para sobrecarregar os alvos com o tráfego com a promessa de parar a sua investida em troca de pagamento.
Embora algumas organizações optem por pagar o resgate, geralmente não é recomendado, pois não há garantia de que o acesso aos sistemas infectados será restaurado e, ao pagar, as vítimas incentivam ainda mais estas formas de ataque cibernético. Muitas empresas não divulgam os ataques de ransomware ou, se o fizerem, não revelarão as exigências dos atacantes.
Aqui, revisamos alguns dos mais recentes ataques de ransomware de 2020, de janeiro a dezembro.
Os Hackers começaram o ano com um ataque à empresa de câmbio Travelex, forçando a empresa a desligar todos os sistemas de informática e a confiar na caneta e no papel. Como resultado, a empresa teve que derrubar seus sites em 30 países.
Um bando de ransomware chamado Sodinokibi (também conhecido como REvil) estava por trás do ataque, exigindo 6 milhões de dólares da Travelex. O bando alegou ter acessado a rede de computadores da empresa seis meses antes, possibilitando o download de 5GB de dados sensíveis de clientes – incluindo datas de nascimento e números de cartão de crédito. A gangue disse que se a Travelex pagasse o resgate, eles apagariam os dados, mas se não o fizessem, o valor de resgate dobraria a cada dois dias. Após sete dias, eles disseram que venderiam os dados a outros criminosos cibernéticos.
A Travelex pagou à quadrilha $2,3 milhões em Bitcoin e restaurou seus sistemas online após duas semanas offline. Em agosto de 2020, a empresa anunciou que iria entrar na administração (o equivalente britânico de entrar no Capítulo 11), culpando uma combinação do ataque de ransomware e o impacto da pandemia de Covid-19.
No Dia dos Namorados, um ataque cibernético aleijou algumas operações comerciais no INA Group, a maior companhia petrolífera da Croácia e a maior cadeia de publicações de abastecimento. O ataque foi uma infecção de ransomware que infectou e depois criptografou alguns dos servidores backend da empresa.
Embora o ataque não tenha afetado a capacidade da empresa de fornecer gás aos clientes, ele impactou sua capacidade de emitir faturas, registrar o uso do cartão de fidelidade, emitir novos vales móveis e permitir que os clientes paguem determinadas contas.
O ataque foi alegadamente causado por uma infecção da variedade do ransomware Clop. Os pesquisadores de segurança consideram a gangue Clop como um "big game ransomware", um termo que se refere a grupos criminosos que visam empresas para infectar suas redes, criptografar dados e exigir resgates extremamente grandes.
Em março, foi revelado que a empresa Communications & Power Industries (CPI), sediada na Califórnia, uma grande fabricante de eletrônicos, havia sido atingida por um ataque de ransomware.
A empresa fabrica componentes para dispositivos e equipamentos militares e conta com o Departamento de Defesa dos EUA entre seus clientes. O ataque de ransomware ocorreu quando um administrador de domínio na empresa clicou em um link malicioso que acionou um malware criptografado em arquivos. Como milhares de computadores na rede estavam no mesmo domínio, não segmentado, o ransomware espalhou-se rapidamente por todos os escritórios da CPI, incluindo os seus backups no local.
A empresa pagou 500.000 dólares em resposta ao ataque. Não se sabe que tipo de ransomware estava envolvido.
Em abril, foi noticiado que a gigante energética portuguesa Energias de Portugal (EDP) tinha sido vítima de um ataque. Os criminosos cibernéticos que usavam o Ragnar Locker criptografaram os sistemas da empresa e exigiram um ransomware de quase 10 milhões de dólares.
Os atacantes alegaram ter roubado mais de 10 TB de dados sensíveis da empresa, os quais ameaçaram vazar a menos que o ransomware fosse pago. Os hackers postaram screengrabs de alguns dados sensíveis em um local de vazamento que supostamente mostravam prova de posse. Os dados supostamente incluíam informações confidenciais sobre faturamento, contratos, transações, clientes e parceiros.
A EDP confirmou a ocorrência de um ataque, mas afirmou não existirem provas de que os dados sensíveis dos clientes tenham sido comprometidos. No entanto, com base no fato de o roubo de dados de clientes poder vir a ser revelado no futuro, a empresa ofereceu aos clientes um ano de proteção de identidade Experian sem qualquer custo.
Em maio, Grubman Shire Meiselas & Sacks, um escritório de advocacia sediado em Nova York com uma série de clientes famosos, incluindo Madonna, Elton John e Robert DeNiro, foi vítima do ransomware REVil.
Os criminosos cibernéticos alegaram o uso dos ransomwares REvil ou Sodinokobi para roubar dados pessoais, incluindo contratos de clientes, números de telefone, endereços de e-mail, correspondência pessoal e acordos de sigilo. Os atacantes ameaçaram divulgar os dados em nove lançamentos escalonados, a menos que fossem pagos resgates que totalizassem 21 milhões de dólares. Esta exigência foi duplicada para 42 milhões de dólares quando a firma de advogados se recusou a pagar.
As celebridades afetadas pelo ataque foram Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey e Mary J. Blige. A firma de advogados disse que não negociaria com os atacantes e chamou o FBI para investigar.
Em junho, a gigante automotiva Honda sofreu um ataque de ransomware da Snake (também conhecida como Ekans) que atingiu seus escritórios nos EUA, Europa e Japão. Uma vez descoberto o ataque, a Honda pôs a produção em espera em certos locais para lidar com a interrupção da sua rede de computadores. Os hackers usaram o ransomware para acessar e criptografar um servidor interno da Honda e exigir ransomware em troca de dar a chave de criptografia. Honda disse mais tarde que os atacantes não tinham apresentado qualquer evidência de perda de informações pessoalmente identificáveis.
Em julho, a empresa francesa de telecomunicações e a quarta maior operadora de telefonia celular da Europa, a Orange, foi vítima do ransomware Nefilim. A divisão de serviços comerciais da empresa foi violada e a Orange foi adicionada ao site Nefilim da dark web, que detalha vazamentos corporativos em15 dejulho. Amostras de dados que o grupo Nefilim diz terem sido extraídas de clientes da Orange foram incluídas em um arquivo de 339MB.
Nefilim é um operador de ransomware relativamente novo, descoberto em 2020. Orange disse que os dados de cerca de 20 clientes de nível empresarial dentro da sua divisão de serviços empresariais foram afetados.
Em agosto, foi divulgado que a Universidade de Utah havia pago um resgate de US$457.000 dólares a criminosos cibernéticos para evitar que eles liberassem arquivos confidenciais roubados durante um ataque de ransomware. O ataque criptografou servidores na Faculdade de Ciências Sociais e Comportamentais da universidade. Como parte do ataque, os criminosos roubaram dados não criptografados antes de criptografar os computadores.
Como os dados roubados continham informações de estudantes e funcionários, a universidade decidiu pagar o resgate para evitar a divulgação dos mesmos. Também aconselhou todos os alunos e funcionários da faculdade afetada a monitorar seu histórico de crédito por atividades fraudulentas e a alterar quaisquer senhas que utilizem on-line.
Em setembro, a K-Electric, a única distribuidora de energia elétrica de Karachi, no Paquistão, foi alegadamente o alvo de um ataque de ransomware Netwalker. Isto levou a uma interrupção do faturamento e dos serviços on-line da companhia de energia.
Os operadores de ransomware exigiram que a K-Electric pagasse US$ 3,85 milhões de dólares, avisando que se o pagamento não fosse efetuado em sete dias, a demanda aumentaria para US$ 7,7 milhões de dólares. Netwalker lançou um arquivo de 8,5GB de arquivos alegadamente roubados durante o ataque, incluindo dados financeiros e detalhes de clientes.
A Netwalker teve como alvo os escritórios de imigração da Argentina, várias agências do governo dos EUA e a Universidade da Califórnia, em São Francisco (que pagou mais de 1 milhão de dólares em resgate).
A K-Electric reconheceu que tinha ocorrido um incidente cibernético, mas disse que todos os serviços críticos ao cliente estavam totalmente funcionais.
Em outubro, hackers invadiram os servidores da agência de notícias Press Trust of India (PTI), paralisando seus serviços por horas. Um porta-voz da empresa descreveu o incidente como um ataque de ransomware maciço, que perturbou as operações e a publicação de notícias aos seus assinantes em toda a Índia.
O ransomware foi identificado como LockBit, software malicioso concebido para bloquear o acesso dos usuários aos sistemas de informática em troca do pagamento de um resgate.
Em novembro, a infraestrutura cibernética do Superior Tribunal de Justiça brasileiro sofreu um ataque de ransomware massivo, o que forçou seu site a ficar offline.
Os criminosos do ataque de ransomware afirmaram que toda a base de dados do Tribunal tinha sido criptografada e que quaisquer tentativas de restauro seriam em vão. Os hackers deixaram uma nota de resgate pedindo ao Tribunal que os contatasse através de um endereço do ProtonMail. Os hackers também tentaram atacar vários outros sites relacionados com o governo brasileiro.
Em dezembro, a Farmácia GenRx, uma organização de saúde baseada no Arizona, alertou centenas de milhares de pacientes sobre uma possível violação de dados após um ataque de ransomware no início do ano. A empresa disse que os hackers maliciosos foram capazes de remover uma série de arquivos, incluindo informações de saúde que a farmácia usava para processar e enviar os produtos prescritos aos pacientes.
Os ataques de ransomware recentes estão se tornando mais seletivos sobre quem atacar e quanto exigir. A Kaspersky Anti-Ransomware Tool oferece proteção tanto para casa quanto para os negócios. Como em qualquer ameaça à segurança cibernética, a chave para a proteção é a vigilância.
Artigos relacionados: