‘Pandemia de ransomware’ ameaça organizações a nível nacional e global

As ameaças ransomware estão no topo da lista de preocupações no que toca a cibersegurança, tanto a nível nacional como mundial. Só em Portugal, o número de organizações afetadas por ciberataques da variante duplicou, em apenas um ano. A JBS, a maior empresa de processamento de carnes do mundo viu muitas das suas operações paralisadas por um ataque ransomware. A tendência vêm confirmar a existência de uma “pandemia de ransomware” que, mais do que nunca, é capaz de estagnar e enfraquecer a sociedade. 

“No ano passado, falámos da ‘ciberpandemia’, a denominação que demos à onda de ciberataques que prosseguiria a pandemia do coronavírus. Agora que a vivemos, sabemos que veio em forma de ransomware, estamos a meio de uma ‘pandemia de ransomware’. A nível global, temos vindo a assistir a ataque atrás de ataque, desde o Colonial Pipeline, à JBS e, mais recentemente, a Massachusetts Steamship Authority”, explica Rui Duro, Country Manager da Check Point Software em Portugal.

É neste contexto que a Check Point Research (CPR), da área de Threat Intelligence da Check Point Software Technologies, partilhou informações acerca do REvil, o maior grupo responsável por dezenas de ataques à escala global, como é o caso do ataque à JBS, nos EUA e na Austrália. 

O REvil nasceu na Rússia e é uma das famílias de cibercrime que mais se destaca nos ataques ransomware a nível mundial, desde 2019. É frequente associarem-se a outros hackers para intensificarem e fortalecerem os ataques - os hackers descobrem novos alvos, extraem dados e encriptam as redes, e o REvil fornece o ransomware, cria um website de potencial divulgação e trata das questões relacionadas com o resgate, desde a negociação ao pagamento. Mas também há regras entre os cibercriminosos. Através de uma publicação num fórum russo foi revelada a noção de que é proibido atacar qualquer país integrante da Commonwealth of Independent States, constituída por países da antiga União Soviética.

O sistema de resgate do REvil é conhecido pela eficácia, centrada num ransomware de dupla extorsão. Numa primeira fase roubam os dados e encriptam os ficheiros da organização, vedando o acesso até ao pagamento do resgate. Além disso, caso o pagamento não seja efetuado, ameaçam divulgar a informação recolhida. Não ficam, no entanto, por aqui. Em fevereiro de 2021 anunciaram ter adicionado duas fases ao esquema de extorsão. Utilizam ataques DDoS (Distributed Denial of Service), que indisponibilizam os serviços de um determinado sistema, e operam agora como um Ransomware-as-a-service, realizando chamadas telefónicas a parceiros de negócios da organização e órgãos de comunicação, tendo em vista exercer pressão através dos afiliados. 

Em abril do presente ano, o REvil colocou em execução um esquema de tripla extorsão. Atacou o fabricante parceiro da Apple, Quanta Computer, e não só pediu um resgate de 50 milhões de dólares como ameaçou duplicar a quantia caso o prazo não fosse cumprido. Após recusarem contactar com os cibercriminosos, avançaram com um ataque à Apple, a quem mandaram comprar as plantas dos seus produtos na rede da Quanta Computer. Uma semana depois, o REvil removeu os modelos da Apple do website onde revelam os dados extraídos nos ataques. “Quanto mais organizações pagarem estes resgates, mais financiado será o esforço dos hackers para lançar ataques cada vez mais sofisticados. A técnica de tripla extorsão, onde os hackers ameaçam não só os seus alvos, mas também os respetivos clientes e parceiros, é um bom exemplo disso”, confere Rui Duro.

Durante o segundo trimestre de 2021, 1000 organizações sofreram ataques ransomware, por semana. Segundo o relatório da CPR, entre o início de 2020 e 2021, o número de organizações impactadas por ransomware aumentou 102%, sendo que em Portugal o número de ataques duplicou. No topo da lista de ataques está o setor de saúde, que em média sofreu 109 ataques/semana, seguido de utilities com cerca de 59 ataques/semana, seguido do setor jurídico, atingido sensivelmente por 14 ataques/semana. Rui Duro clarifica “que o ransomware não discrimina alvos” e que tem “receio que tenda a piorar” porque “o ransomware é um grande negócio e é sabido que se ganha bem”. O Country Manager da Check Point Portugal conclui que “é seguro dizer que o ransomware é atualmente uma das maiores ameaças que enfrentamos a nível global”.