Ransomware: como negociar com piratas informáticos?

12 fev 2022, 22:00
Ransomware (Associated Press)

Atacam redes e sistemas e pedem-lhe que pague para que consiga reaver tudo o que trancaram dentro "do cofre". Mas, os especialistas dizem que entregar o "cheque" é a última opção

"Na época medieval, nos castelos, os invasores procuravam o sítio por onde entravam os ratos para encontrarem os buracos e atacarem. Os hackers fazem o mesmo. Procuram os buracos". E esses são, várias vezes, fáceis de encontrar. A crescente divulgação de ataques ransomware (os especialistas dizem que não há aumento, mas sim uma "maior publicidade" dos mesmos) é a prova disso. As fragilidades nas redes e sistemas de várias empresas têm permitido aos hackers entrar, encriptar, destruir, barrar acessos e exigir resgates para repor tudo como estava. 

Porfírio Trincheiras, especialista em cibersegurança do AtelierLógico, explica à CNN Portugal que, depois da covid-19, "aquilo que já era um caminho de digitalização, agora é um caminho de digitalização acelerado" e, por isso, "o crime que há na sociedade transita para a internet".

"É como quando alguém quando raptava uma pessoa e pedia um resgate. No ransomware é exatamente a mesma coisa, só que não são pessoas, são dados. À medida que a digitalização vai avançando, o número de crimes digitais vão eventualmente crescendo. É a transferência para a sociedade digital", afirma.

Sociedade digital que muitas vezes se mete a jeito sem saber como. As fragilidades dos sistemas, em época de covid, multiplicaram-se. Há cada vez mais pessoas online, a trabalhar a partir de casa, muitas vezes em computadores partilhados pela família inteira e que, sem saber, acabam por dar uma porta aos hackers para entrarem nas entidades patronais.

"Se eu trabalho num computador partilhado em casa, computador esse onde o meu filho joga em sites mais ou menos duvidosos, e depois alguém se vai ligar através da VPN ao computador que ficou no servidor da empresa, há um problema", diz um dos especialistas com quem a CNN Portugal falou e que pediu anonimato.

Qual é a motivação? Dinheiro

Porfírio Trincheiras é claro quando a pergunta é a motivação de quem faz estes ataques: "aquilo a que assistimos nos últimos anos é que os ataques são sobretudo Ransomware, ou seja, têm sobretudo uma motivação financeira, coisa que não existia no passado".

"A esmagadora maioria dos ataques, são ataques que visam a obtenção de um resgate. Ou seja, há um incentivo financeiro ao ataque informático, e isso provoca, naturalmente, uma maior intenção de o realizar".

Mas, como é que os ataques se processam normalmente? E como é que se ganha dinheiro com eles? Se depender dos especialistas de cibersegurança contactados pela CNN Portugal, não ganham

"Depois de conseguir uma entrada, encriptam-se os dados todos, com uma chave, que só quem ataca é que tem e que só a devolve a troco de dinheiro, normalmente pago sob a forma de criptomoedas e, sobretudo, em criptomoedas que não são possíveis seguir. (...) Eu nunca paguei nem sequer tentei contactar [os hackers]", garante Trincheiras.

Também Ricardo Negrão, especialista na área de Cyber Risk, é peremptório: "1.ª recomendação, não pagar. 2.ª recomendação, não pagar. 3.ª recomendação, não pagar. Sempre não pagar".

Porquê? "Por duas razões. A primeira razão: 60% das empresas que pagaram não conseguiram ficar com o resgate, não funcionou. 60% no mundo. Pagam e não ficam com os dados ou não conseguem evitar que os dados sejam divulgados publicamente. Segundo factor: se eu paguei, estou a financiar este tipo de atividade. Neste momento, já há indícios claros de que os atacantes que fazem ransomware atacam e pedem os resgates no valor da cobertura da apólice de seguro que a empresa tem porque sabem que até àquele valor conseguem ir, mais do daquilo talvez não".

E agora?

Mas, se não pagamos, como é que vamos reaver os nossos dados? O professor António Pinto da Escola Superior de Tecnologia e Gestão do Instituto Politécnico do Porto explica que "é preciso recorrer a backups e ter tempo". 

"A reposição do sistema leva tempo. Não há uma solução rápida, quer se pague ou não", explica em entrevista à CNN Portugal, acrescentando que para conseguirem fazer reposição do sistema é preciso ter os backups salvaguardados fora da rede que foi atacada e ter também um servidor "a salvo" onde esse backup possa ser reposto.

Porfírio Trincheiras diz mesmo que esse é "um dos erros mais comuns das nossas empresas: o sistema coexiste na mesma rede".

Um especialista contactado pela CNN Portugal, que pediu o anonimato, diz que "não basta repor". Para além do backup também é preciso assegurar que os "servidores são higenizados" antes de fazer o quer que seja.

"É muito importante antes das pessoas fazerem a reposição do backup, seja feita uma cópia forense, ou seja, uma cópia dos locais que estão "infetados" para fazer uma análise. E ao mesmo tempo, só depois de fazer essa cópia, é que se pode iniciar o processo de reposição", explica, dizendo ainda que só de "repõe o que é essencial, o mínimo indispensável até se descobrir por onde é que as coisas aconteceram para se corrigir a vulnerabilidade".

Até porque é importante "perceber se não há outro tipo de spyware ou ransomware nas redes" que não vai deixar a empresa nas mãos dos hackers no futuro.

"Não é incomum que meses depois do ataque mal resolvido há outro tipo de ataques, fraudes financeiras por exemplo, e como não se corrigiu o ponto de entrada ficam vulneráveis para um ataque de outras caracteristicas: roubo de identidade intelectual ou fraudes financeiras".

Recuperar sistemas sem pagar é possível?

Respondendo de forma geral, sim. E os especialistas contactados pela CNN Portugal garantem que é assim que têm conseguido recuperar as empresas que os contratam depois de terem sido invadidas e bloqueadas fora do "castelo".

António Miguel Ferreira, Managing Director da Claranet, diz que os pedidos de ajuda chegam, normalmente, "numa questão de poucas horas", e que a disponibilidade tem de ser "para intervenção imediata". Depois de lançado o alerta, é hora de meter mãos à obra para voltar a colocar tudo a funcionar.

"Focamo-nos na recuperação dos recursos, plataformas, aplicações afetadas e em voltar a colocá-los operacionais. E também nos focamos na análise pós-ataque, para minimizar o risco das empresas de situações semelhantes futuras. A cibersegurança é uma preocupação que tem que estar presente no planeamento e nos processos de cada empresa e o nosso papel é dar esse apoio e competências necessárias".

Contactar os hackers é que não é opção para quem trabalha nesta área até porque, como já dissemos, isso não é garantia de que o ataque cesse e os dados sejam repostos.

"O nosso foco de atuação é a recuperação dos sistemas, através de recursos exclusivamente técnicos e não no âmbito de uma negociação. Claro que essa recuperação é tanto mais fácil quanto mais preparada a empresa estiver. Se tiver sido feito o devido planeamento e investimento antecipadamente, a recuperação é possível, reduzindo o risco e o impacto de eventuais ataques. Quando o planeamento prévio é descurado, o risco é elevado e o impacto pode ser muito significativo. As empresas não podem confiar apenas na sorte", acrescenta o especialista da Claranet.

Também o especialista em cibersegurança do AtelierLógico diz que a recuperação a partir de backups é o método escolhido por si, mesmo que isso leve tempo e obrigue a passos controlados.

"Nunca paguei nem sequer tentei contactar. Sempre repus o sistema a partir de backups e tive o cuidado de verificar se havia dados pessoais que tinham sido afetados, não tive nenhum caso em que tivesse dados pessoais afetados. O que tive foi contas afetadas, usernames e passwords e nós procedemos ao bloqueio imediato das contas todas e fomos reativando à medida que as pessoas iam aparecendo novamente. [O problema é que] Não sabes se vais reaver. A tentativa de contacto para dares a chave pode dar origem para seres apanhado. Ao deixares logo as informações como deves pagar, o dinheiro transita anonimamente pela internet, nunca mais o vês e o mais provável é que não tenhas a chave", reitera Porfírio Trincheiras. 

 

Dicionário de ransomware/cibersegurança

O que é um ataque de Ransomware?
Ransomware é um tipo de ataque que encripta os ficheiros aos quais o utilizador tem acesso, com uma chave assimétrica. Desta forma, no início do processo, a chave capaz de o reverter é enviada ao atacante e só ele consegue reverter o processo.
Como se processa?

O primeiro passo consiste em aceder ao computador ou mais usualmente a rede de computadores da entidade alvo, este acesso é normalmente conseguido por um de dois processos, pode ser feito explorando uma falha de segurança nos servidores da entidade atacada que estão expostos à internet ( servidor web, servidor de mail ou outro qualquer) ou via social engeneering, neste caso , que até representa a forma mais comum, um utilizador da rede é induzido a ativar um software malicioso, seja via um anexo de mail enganador, um link de um site previamente infetado ou qualquer outro processo análogo.

Como se propaga?

Uma vez infetado um computador, inicia-se o processo de encriptação dos seus ficheiros, ao mesmo tempo que se utiliza os acessos desse utilizador para infetar o computador seguinte.

Como identificar que se esta infetado?

Normalmente a infeção é detetada pela presença de ficheiros com uma extensão diferente do original, por exemplo documento.doc.ryk

Como é pedido o resgate?
Nos casos de ransomware tradicional, normalmente fica um ficheiro no computador da vítima com a nota de resgate.

Relacionados

Tecnologia

Mais Tecnologia

Patrocinados