A Huawei e o Inatel (Instituto Nacional de Telecomunicações) divulgaram no Futurecom 2022 um White Paper que traz informações sobre o que são ataques de ransonware, como ocorrem e, principalmente, como se preparar para enfrenta-los. O documento é parte de um esforço conjunto de conscientização sobre os impactos que um ataque deste tipo pode trazer e da necessidade de investimentos  em estratégias de defesa. O professor do Inatel e coordenador da iniciativa, Guilherme Aquino, explica que o documento é parte de uma série de iniciativas conjuntas que vem sendo realizadas em parceria com a Huawei, que inclui a criação do Centro de Segurança Cibernética da instituição. “Este documento foi produzido com o objetivo de levar educação de cibersegurança para o corpo técnico das empresas”, explica. Ainda sobre a iniciativa, o diretor de cibersegurança e privacidade da Huawei para a América Latina, Marcelo Motta, explica que outro objetivo importante é contribuir com o ecossistema local para que essas informações sejam disseminadas e os profissionais de segurança tenham a consciência da necessidade de governança em cibersegurança e investimento em campanhas internas de conscientização. “Nós investimos pesadamente em P&D para garantir a segurança de nossos clientes, mas isso só não é suficiente”, ressalta, lembrando que a governança é necessária, assim como a educação dos colaboradores e a preparação para a ocorrência de eventos desse tipo. Uma prova de que a conscientização é uma peça-chave no enfrentamento do problema está no fato de que as ameaças internas causam 43% dos incidentes. “O custo médio por ataque, no mundo, é de US$ 2 milhões e o custo médio do resgate é de US$ 170 mil. Isso justifica o esforço de prevenção”, explica. Motta reforça ainda que, com ataques deste tipo tornando-se cada vez mais frequentes, é importante disseminar a ideia de que a cibersegurança seja encarada como investimento e de que as medidas de precaução devem ser tomadas antecipadamente. “Muito importante, além da parte da tecnológica, é o aspecto operacional: treinar as pessoas para que elas não abram as portas dos sistemas corporativos para estas ameaças. Há a governança, o aspecto tecnológico e o de treinamento”, resume. O que é o ransonware O documento divulgado mostra que o ransomware é considerado hoje a segunda maior ameaça do ponto de vista de ataques cibernéticos, com o Brasil ocupando a quarta posição entre os países que mais sofrem este tipo de ataque. Um bom exemplo desta preocupação está no site da companhia de segurança cibernética BLACKFOG, que mantém uma avaliação do estado de ataques de ransomware para o ano de 2022, listando os ataques para cada mês. Empresas como Toyota, Samsung, Panasonic e Vodafone estão entre outras que reportaram algum tipo de incidente com ataques de ransomware. Vale lembrar que ransomware são códigos maliciosos que invadem sistemas ou dispositivos para sequestrá-los por meio de bloqueio ao acesso ou captura e encriptação de dados, cuja recuperação demanda o pagamento de um resgate para o invasor. “Basicamente, esse código malicioso invade um sistema ou dispositivo para sequestrá-lo por meio do bloqueio ao acesso ou para realizar a captura e encriptação de dados armazenados”, explica Aquino. Em seguida, ocorre o pedido de resgate do sistema, dispositivo ou informação condicionado a um aporte financeiro. Quando há a retenção de informações, o pedido de resgate inclui ameaças de divulgação das informações em vias públicas, caso o pagamento exigido não seja cumprido. As formas de pagamento são direcionadas para mecanismos que impossibilitam o rastreio, sendo verificadas solicitações de pagamento em criptomoedas, como o Bitcoin. Impacto financeiro Ataques de ransomwares são classificados como crimes de extorsão e desencadeiam diversos fatores que impactam uma empresa financeiramente. Inicialmente, existe o pedido de resgate, cujas cifras normalmente são altas. O pagamento não é recomendado, pois não há garantia para a organização que o ataque será finalizado, resultando em outras tentativas de extorsão. Além disso, existe a possibilidade de os dados serem danificados. O ataque pode indisponibilizar as vias de negócio da empresa, gerando prejuízos pela interrupção. Em contrapartida, o tempo necessário para recuperar os sistemas e dados pelo time de TI dificulta o retorno das atividades dos colaboradores, afetando resultados. Existem diversos tipos de ransomwaresque podem ser classificados de forma geral com base no processo de sequestro do sistema, dispositivo ou informação. Aqueles que empregam a criptografia são denominados de ransomware de criptografia, ou Crypto ransomware, enquanto outros que bloqueiam acessos são definidos como ransomwares de bloqueio, ou Locker ransomware. Cada um tem uma forma específica de ação: · Crypto ransonware - utiliza algoritmos de criptografia para encriptar arquivos e informações importantes, indisponibilizando-nos para acesso do usuário. O processo de decriptação demanda o pagamento de um valor de resgate para recuperação das informações. ·Locker ransonware - age de forma distinta ao Crypto ransomware, empregando mecanismos que capturam o dispositivo da vítima. Consequentemente, a recuperação de acesso demanda o pagamento de um resgate. Em relação ao processo de extorsão, técnicas recentes envolvem a dupla e também a tripla extorsão. A dupla extorsão inclui o pedido de resgate pelos dados e a ameaça de vazamento de dados e informações das vítimas – física ou jurídica – caso um segundo valor não seja pago, em uma abordagem que tem se mostrado lucrativa entre os invasores. Já a tripla extorsão surgiu no início de 2021 como uma nova forma de lucrar sobre os pedidos de resgate. Além do envio de pedido de resgate, essa técnica envolve a extorsão de clientes da organização afetada ou o uso de uma terceira forma de ataque (ex.: a negação de serviço) como motivação. O estudo aponta também que mais recentemente, uma nova abordagem relacionada aos tipos de ransomware tem feito sua comercialização como um serviço, é o Ransomware as a Service, ou RaaS. Neste modelo, hackers dedicados em programar ransomwares os armazenam em sites da darkweb e vendem assinaturas para outros criminosos cibernéticos em um modelo semelhante ao software como serviço (SaaS). “A assinatura permite que o criminoso possa explorar o ransomware para executar ataques e lucrar por meio da extorsão. Parte do resgate é transferido para o criador do ransomware segundo estabelecido em contrato no ato da assinatura”, explica Aquino. Com tamanha sofisticação, o estudo aponta que as empresas precisam estabelecer um conjunto de atividades direcionado para a gestão de risco em ransomware. O professor lembra que algumas abordagens podem ser generalizadas para uma gestão mais ampla, mas que o estudo aponta um conjunto de ações organizado seguindo o framework de Gestão de Risco de Ransomware desenvolvido pela NISTl (National Institute of Standards and Technology), que agrupa estas ações em Identificação; Prevenção; Detecção; Resposta à incidentes; e Recuperação. Mais ações Aquino e Motta revelaram ainda que outras iniciativas conjuntas relacionadas à segurança estão em preparação. “Vamos lançar até o final do ano um White Paper sobre a parte técnica da LGPD. A LGPD é hoje importante para todas as empresas e muita gente a trata do ponto de vista jurídico”, explica Aquino, lembrando que o tema também deve ser no nível de processos e de tecnologia, o que poucas empresas fazem. Além disso, em dezembro, a instituição e a Huawei organizam o Fórum Nacional de Cibersegurança. O evento será realizado em Brasília com o objetivo de discutir os principais temas de cibersegurança em âmbito nacional, reunindo os principais especialistas do setor. Do lado da Huawei, um outro White Paper está em produção, este em produzido em conjunto com parceiros locais. “Vamos falar sobre governança em sistemas de computação em nuvem, analisando os principais riscos e o que significa a governança destes ambientes. Estamos concluindo e em breve devemos compartilhar com o mercado brasileiro”, completa Motta. Clique aqui para baixar o white paper