O caso Colonial Pipeline mostra que o ransomware está mais sofisticado; proteger-se dele também

Quando uma gigante como a Colonial Pipeline, maior operadora de oleodutos dos Estados Unidos, é vítima de um ransomware com resultados tão catastróficos, desencadeando, inclusive, uma crise no mercado de combustíveis, o alerta serve para todas as outras empresas, de todo o mundo. E não pode mais ser ignorado.

O caso Colonial Pipeline é uma evidência de que o ransomware se tornou uma teia, formada por problemas interconectados, em que não há soluções fáceis para a complexidade que esse tipo de ataque ganhou com o tempo. Há tempos, saiu do virtual. Afeta o mundo físico também, com força para parar cidades e afetar mercados inteiros. E é provável que piore daqui para frente.

O pagamento de resgate de US $ 5 milhões feito pela Colonial Pipeline aos atores da ameaça provavelmente encoraja outros invasores a realizarem ataques semelhantes às redes de infraestrutura crítica, não só dos Estados Unidos. Um estudo divulgado recentemente aponta que, no segundo trimestre de 2021, mil organizações em vários países foram impactadas a cada semana por ao menos uma ofensiva dessa modalidade. O Brasil é um dos territórios preferidos de invasores. Em 2020, fomos o nono país que mais sofreu ataques de ransomware, com mais de 3,8 milhões de incidentes.

O poder de devastação de um sequestro de dados é incalculável. Há centenas de casos de empresas que foram vítimas e que nunca conseguiram se reerguer.

Caso Colonial Pipeline – por que o ransomware virou uma epidemia

Os cibercriminosos que introduziram o ransomware na rede de TI da Colonial Pipeline escolheram o alvo com cuidado, porque é como esses grupos atuam. A lógica é simples: quanto maior a empresa, maior o número de tentativas de invasão. E quando a infecção finalmente ocorre, se espalha como um incêndio. No caso da gigante norte-americana, a pólvora era as falhas na segmentação entre os ambientes de TI e OT.

Mas há outras portas pelas quais a infecção acontece. A obsolescência tecnológica costuma ser uma delas. Muitos ambientes virtuais de empresas operam com tecnologia ultrapassada, corrigida com pouca frequência. Os níveis de risco de segurança cibernética vão abaixo do aceitável.

As atualizações tecnológicas são velozes, por isso nem todas as organizações conseguem se manter em dia. É só pensarmos que não foi há tanto tempo assim que muitas empresas tinham a opção de apenas implementar soluções de backup e recuperação de dados para que, no caso de um ataque de ransomware, pudessem se concentrar na restauração de sistemas em vez de pagar resgate aos criminosos.

Essa foi uma estratégia bastante sólida por um bom tempo, e ainda é válida. Mas, como parte de uma arquitetura maior de segurança. Sozinha, passa longe de ser suficiente considerando a superfície de ameaças em que estão os negócios. Também, porque grupos criminosos desenvolveram métodos alternativos para pressionar as empresas a pagar o resgate em casos de ransomware. Entre elas, a tática de dupla extorsão.

Depois que o ransomware criptografa os dados da empresa e emite o pedido de resgate para pagamento em troca da chave de descriptografia, os criminosos cibernéticos fazem uma ameaça adicional de publicar ou vender as informações mais sensíveis caso o alvo se recuse a fazer o pagamento do resgate. Isso é dupla extorsão. Com essa tática em jogo, não importa se a companhia investiu em backups como medida de precaução.

Sempre é bom lembrar que há inúmeras razões para não se pagar o valor pedido no sequestro dos dados. Primeiro porque pagar apoia modelos de negócios ilegais. E segundo, já sabemos que centenas de empresas que pagaram resgate foram vítimas de novo do mesmo golpe, aplicados em algumas vezes pelo mesmo grupo de cibercriminosos.

Proteção que acompanha a evolução dos riscos do mundo digital

Segurança não é um método único, mas sim um processo dinâmico e ágil. Um ambiente, para ser considerado seguro, precisa ser analisado e monitorado de modo contínuo e ininterrupto, usando inteligência e profissionais altamente capacitados para fazer a gestão de vulnerabilidades e de incidentes das empresas. As estratégias devem ser desenhadas segundo cada contexto corporativo.

O despreparo para a transformação digital colabora para aumentar o momento de insegurança. A proteção nem sempre acompanha a velocidade dos avanços tecnológicos e dos riscos que eles trazem. O que quer dizer segurança em todas as fases, processos e ambientes de uma organização.

É verdade, muitas violações de dados são flagradas pelas ferramentas de segurança já existentes. O problema é que o alerta, em muitos casos, não é abordado, ou é esquecido. As ameaças passam despercebidas e permanecem no ambiente de uma empresa por meses porque falta cobertura 24 horas por dia e 7 dias por semana, há pouco conhecimento interno de operações de proteção e as equipes de segurança não são bem estruturadas.

Segurança da informação hoje precisa ter como base o que chamamos de tríade de segurança: pessoas, processos e produtos. Essa ampla gama de talentos, tecnologia e experiência profissional, alinhada com o negócio, eleva a maturidade da segurança e o patamar da marca no mercado. O ISH Vision é uma solução que oferece esse nível de serviço personalizado, considerando o papel e o momento de cada organização. O conhecimento do time de Inteligência de Ameaças, com profissionais altamente qualificados, pesquisa e coleta informações de modo contínuo. Soma-se a isso o aprendizado da Inteligência Artificial (IA).

O resultado é um Serviço de Detecção e Resposta (MDR) que elimina a fadiga de alertas e falsos positivos, e promove uma resposta praticamente em tempo real. E em casos de ransomware, identifica precocemente a tentativa de invasão, evitando danos profundos aos negócios.

Não existe bala de prata, é verdade. Mas, o Brasil já possui soluções à altura da complexidade do crime cibernético, capazes de minimizar os riscos de ataques. Converse com um de nossos especialistas e veja como proteger o negócio a partir da realidade da sua empresa.

Por João Paulo Barros