Ataques hackers em larga escala e sofisticados estão em ascendente.
Após uma pausa em 2022, os ataques de ransomware (sequestro do sistema a partir de um vírus) a alvos de alto valor, como grandes empresas, bancos, hospitais ou agências governamentais, tiveram um “aumento massivo” este ano, aumentando 51% até o final de novembro, de acordo com a empresa de cibersegurança Crowdstrike Holdings Inc. No ano passado, esses ataques diminuíram em relação ao ano anterior, disse a empresa.
As violações estão custando mais dinheiro às vítimas. Os pagamentos feitos a hackers que mantêm sistemas como reféns aumentaram quase pela metade até setembro, de acordo com a empresa de análise de blockchain Chainalysis Inc.. O prejuízo total ficou em quase US$ 500 milhões (R$ 2,47 milhões) em pagamentos.
“A atividade está em seu nível mais alto”, disse Nikesh Arora, diretor-executivo da empresa de segurança de rede Palo Alto Networks Inc. Arora destacou a crescente frequência e gravidade de ataques de ransomware durante uma recente ligação com investidores. “Os atores mal-intencionados estão causando danos em um período de tempo muito mais curto”, disse ele.
Apenas nos últimos meses, hackers paralisaram o transporte marítimo em alguns dos maiores portos da Austrália; causaram estragos nos cassinos de Las Vegas; causaram escassez de lenços desinfetantes e sacos de lixo na Clorox Co.; e interromperam a compensação de algumas negociações do mercado do Tesouro.
O número de vítimas de extorsão cibernética —que inclui ransomware— nos primeiros três trimestres de 2023 já é 33% maior do que em todo o ano passado, de acordo com um relatório publicado no mês passado pela Orange Cyberdefense, a divisão de cibersegurança da empresa de telecomunicações francesa Orange SA. A maioria das aproximadamente 2.900 novas vítimas conhecidas estava concentrada nos EUA, Reino Unido e Canadá, com números crescentes na Índia, nas ilhas do Pacífico e na África, de acordo com o relatório. Este ano registrou o maior número de vítimas já registrado pela Orange.
O aumento na atividade é ainda mais impressionante depois que os ataques de ransomware diminuíram em algumas medidas no ano passado. A calmaria correspondeu ao momento da invasão da Rússia na Ucrânia em fevereiro de 2022, e alguns especialistas relacionam isso ao fato de que muitos hackers acredita-se estarem baseados na Europa Oriental e redirecionaram seus esforços ou estavam distraídos de outra forma. Outras teorias afirmam que grupos de hackers estavam se mantendo discretos depois de uma série de ataques de alto perfil que chamaram a atenção das autoridades.
“Muito tempo foi gasto atacando a Ucrânia ou a Rússia, mas a guerra tem durado tanto tempo que esses caras estão tipo ‘temos que ganhar dinheiro novamente’, então eles estão de volta fazendo seus ataques motivados financeiramente”, disse Jon Clay, vice-presidente de inteligência de ameaças da fabricante de software de segurança Trend Micro Inc.
As violações de alto perfil refletem a facilidade de lançar ataques agora e as enormes quantias de dinheiro a serem obtidas com eles. O suprimento quase infinito de possíveis vítimas alimentou um aumento na atividade criminosa, onde o objetivo é a exploração indiscriminada de quantos alvos forem possíveis. O sucesso dos hackers em receber pagamento aumenta de acordo com a quantidade de interrupção que eles causam nos sistemas de computador da vítima, dizem os especialistas.
O problema é difícil de ser controlado pelas autoridades. Uma razão é que muitas vítimas, desesperadas para recuperar seus dados ou mantê-los fora da dark web, ou ambos, acabam pagando o resgate, o que alimenta novos ataques. Outra razão é a escala e a natureza global da indústria, já que muitos dos hackers estão sediados na Rússia ou em outros países que lhes oferecem refúgio seguro.
A crescente conscientização levou muitas organizações a investirem em infraestrutura de backup que pode ser ativada em caso de emergência e treinamento de resposta a incidentes cibernéticos, dando-lhes vantagem para negociar um pagamento menor com os hackers ou evitar pagar completamente, disse Bill Siegel, diretor executivo da empresa de resposta a incidentes de ransomware Coveware.
Este ano, o volume bruto de dólares pagos a extorsionistas cibernéticos está na verdade 20% menor, disse Siegel. No entanto, quando as vítimas pagam, o valor médio está aumentando, chegando a US$ 851.000 no terceiro trimestre deste ano, de acordo com a Coveware.
Acompanhar as tendências de cibercrime é difícil. Nem todas as vítimas divulgam quando foram alvos e aquelas que fazem isso geralmente fornecem poucos detalhes. Os dados mantidos por empresas de cibersegurança costumam incluir apenas as experiências de seus próprios clientes, e os sites de vazamento mantidos por hackers também não mencionam as vítimas que pagam. “Esta é apenas uma visão parcial de todo o problema da extorsão cibernética”, reconheceu o relatório da Orange. “Estamos muito cientes de que há um alto número obscuro de vítimas que simplesmente não conhecemos”.
Um aumento nos ataques de ransomware em 2021, incluindo um na Colonial Pipeline Co. que interrompeu o fornecimento de combustível na costa leste dos EUA, levou a administração Biden a declarar o ransomware uma prioridade de segurança nacional. Desde então, os EUA e muitos de seus aliados tentaram reprimir grupos de hackers, em parte cortando os recursos de criptomoeda dos criminosos.
A Ransomware Task Force, uma organização sem fins lucrativos focada em cibersegurança, elaborou uma lista de 48 ações que o setor público e privado poderiam tomar para mitigar tais ataques, e a partir de 18 de dezembro as empresas serão obrigadas a divulgar incidentes de cibersegurança à Comissão de Valores Mobiliários dos EUA dentro de quatro dias úteis após determinarem que são relevantes para os investidores. Sob as novas regras, as empresas terão que relatar o impacto do hack, incluindo quais dados foram divulgados publicamente e os processos que a empresa adotou para mitigar o risco.
O governo está “usando todas as ferramentas disponíveis” para deter os hackers, disse Eric Goldstein, diretor-assistente executivo de cibersegurança da Agência de Cibersegurança e Infraestrutura dos EUA. “Infelizmente, a amplitude total do problema pode ser difícil de medir porque os incidentes de ransomware ainda são amplamente subnotificados”.
Outro desafio para as autoridades é que os grupos de extorsão cibernética tendem a ter uma vida útil muito curta —a maioria dura no máximo seis meses— o que torna difícil investigar e interromper suas atividades, constatou o relatório da Orange. Apenas 23 grupos de extorsão cibernética rastreados pela Orange Cybersecurity sobreviveram até 2023; outros 25 desapareceram completamente do ano anterior, enquanto 31 novos grupos surgiram para ocupar seu lugar.
“Todos os dias estamos recebendo mais atacantes em uma velocidade que a indústria nunca encontrou antes”, disse Jon Miller, co-fundador e CEO da Halcyon, uma empresa californiana fabricante de software anti-ransomware. Os principais grupos de hackers estão aperfeiçoando um tipo de modelo de franquia, vendendo tecnologias e dados para novos entrantes, que então compartilham os lucros de seus ataques, disse ele.
“Os atacantes mais habilidosos vão atrás dos alvos de alto nível —que ainda são principalmente russos— e agora você também tem atacantes de médio nível indo atrás do nível abaixo”, disse Miller. “Todos lucram e os ataques que eles estão realizando são super impactantes”.
LockBit, ALPHV e Cl0p têm sido alguns dos grupos de ransomware mais ativos este ano. Cl0p, por exemplo, foi responsável pela violação do software de transferência de arquivos MOVEit durante o verão, um ataque que afetou mais de 2.600 organizações, de acordo com Brett Callow, analista de ameaças da Emsisoft. LockBit foi responsável por um ataque no mês passado contra o braço dos EUA do Industrial & Commercial Bank of China Ltd., que interrompeu o mercado do Tesouro dos EUA de US$ 26 bilhões (R$ 128 bilhões), e um ataque no mês anterior que derrubou um site que a Boeing Co. usa para vender peças de aeronaves, software e serviços sobressalentes.
No caso dos ataques hackers a cassino, um grupo conhecido como Scattered Spider, que frequentemente invade redes ligando ou enviando mensagens para funcionários do suporte de TI e os convencendo de que são funcionários que precisam de acesso à rede, foi descrito por um executivo da empresa de cibersegurança Mandiant, de propriedade do Google, como “um dos atores de ameaças mais prevalentes e agressivos que impactam organizações nos Estados Unidos hoje”.
Esses ataques, e outros semelhantes, destacam o que os especialistas em cibersegurança dizem ser o aumento do uso por grupos de hackers de formas sofisticadas de engenharia social analógica para obter acesso inicial a uma organização.
A mudança para o trabalho em casa para muitos empregadores também criou novas vulnerabilidades de segurança – e oportunidades para hackers, de acordo com Jim McMurry, fundador e CEO da empresa de cibersegurança ThreatHunter.ai na Califórnia. Alguns dos maiores ataques do ano passado envolveram hackers se tornando mais rápidos em explorar falhas de software imediatamente após sua divulgação pública e antes que as vítimas tenham muito tempo para aplicar as correções necessárias, incluindo tecnologias necessárias para o trabalho remoto, disse ele.
“Essa exploração rápida, combinada com a ampla adoção de tecnologias de trabalho remoto, criou uma tempestade perfeita, tornando até mesmo os sistemas mais robustos vulneráveis a ataques”, disse ele. McMurry estima que sua empresa tenha respondido e investigado o dobro de incidentes este ano em comparação com o ano passado.