5 minute read
Segurança
from RTI - Junho - 2022
Ataques à Costa Rica
No cinema são comuns os filmes em que um grupo de mercenários invade um país e consegue vencer seu exército. São obras como Os Selvagens Cães de Guerra, de 1978, e a franquia Mercenários, de 2010, com três filmes. São inverossímeis, mas divertem quem gosta do estilo. Mas o mundo digitalizado tornou-se de certa forma possível, e um grupo de mercenários ou criminosos consegue derrotar um país inteiro, ou ao menos parte dele. É o que está ocorrendo na Ucrânia desde 2014, e o que está acontecendo agora mais perto de nós, na Costa Rica. A analogia com as produções de Hollywood, em que governos são derrubados, não é exagero nesse caso. Os hackers da Costa Rica declararam: “Estamos determinados a derrubar o governo por meio de um ataque cibernético. Já mostramos a vocês toda a força e poder”.
O ataque de ransomware começou em 12 de abril de 2022, no último mês de governo do então Presidente Carlos Alvarado, em uma ação contra o Ministério das Finanças, e um pedido de resgate estipulado em US$ 10 milhões. Os autores são do grupo UNC1756, parte da organização ou associados ao Conti, serviço de RaaS Ransomware as a Service, que está por detrás, de acordo o com FBI, de mais de 400 ataques contra organizações e empresas diversas, a maior parte em solo americano. A polícia federal americana estipulou uma recompensa de US$ 10 milhões para quem passar informações que levem aos membros do grupo. Inicialmente, o governo da Costa Rica não admitiu que estava sendo vítima de um ataque cibernético, mas a posição em 8 de maio, após a posse do novo presidente Rodrigo Chaves, que declarou emergência nacional e disse estar em guerra contra o Conti, mudou o cenário. Chaves também culpou o governo anterior pela situação, por não ter investido em segurança cibernética. Àquela altura, o ataque já havia atingido 27 instituições do governo, e o resgate foi reajustado para US$ 20 milhões. Os impactos foram diversos e incluem atrasos no pagamento de funcionários públicos, interrupção na coleta de impostos e impactos no comércio exterior e aduana.
Não há informações dos vetores de ataque utilizados, e autoridades costariquenhas chegaram a dizer que a invasão só foi possível porque houve participação de cidadãos do país. Nas discussões em fóruns na Internet, essa possibilidade é descartada, porém, uma vez com o acesso, é uma questão de tempo para os hackers propagarem o ataque. Além de criptografar os computadores e servidores, o grupo baixou entre 700 e 1000 GB de dados do governo. Desses, 600 GB foram publicados na Internet. Estima-se que dados mais valiosos devam ser vendidos.
Não foi o primeiro ataque do Conti a países. Eles participaram ou participam dos ataques à Ucrânia, e a eles é também creditado o ataque aos sistemas de saúde da Irlanda, também por US$ 20 milhões, e lá também houve ameaças ao governo de que os dados roubados seriam publicados. Mas a negação do governo em pagar o resgate deu início a ameaças e a uma virulência nunca antes vista em agressões do tipo. Os hackers declararam: “Você está nos forçando a usar métodos terríveis”. Esses métodos terríveis podem ser a ameaça de derrubar o governo costa-riquenho, ao convocar a população para ir às ruas contra o presidente. Por fim, estipularam o dia 23 de maio como data-limite para o pagamento: “Falta menos de uma semana para destruirmos suas chaves. Também estamos trabalhando para obter acesso a seus outros sistemas, você não tem outra opção a não ser nos pagar”.
Especula-se também sobre os motivos que levariam o Conti a empregar seu ransomware no ataque a países. É quase consenso que os motivos são puramente financeiros. Aparentemente, no cálculo do grupo hacker, os países teriam mais facilidade para pagar altos montantes que empresas. Por outro lado, um ataque dessa magnitude contra nações dá também a percepção de que o grupo se sente inatingível, o que pode ser um fato caso seja verdade de que são usados pelo governo da Rússia em seus ataques digitais, contando dessa forma com alguma proteção. Essa proteção pelo governo russo é uma acusação comum das autoridades dos Estados Unidos.
As lições não diferem de tantos outros ataques a que estamos, infelizmente, nos acostumando a ver. Os prejuízos, pagando ou não o resgate, superam em muitas vezes os investimentos prévios em segurança da informação. Como sabemos, é impossível garantir que um malware não entre na rede, já que os hackers precisam ser bem-sucedidos apenas uma vez, enquanto empresas e organizações precisam sê-lo em todas. Mas é perfeitamente possível detectar o ataque a tempo de contê-lo no sistema ou rede em que iniciou, além de usar medidas que bloqueiem o malware de se comunicar com seus controladores. Tanto um como o outro atrapalham e impedem que a invasão tenha sucesso integral.
Os vetores tradicionais de ataque são o e-mail e os downloads involuntários de sites infectados. Para ambos, há tecnologia disponível para todos os tamanhos de empresa e orçamentos. Mas mesmo que tenha havido participação interna, com um funcionário do governo injetando o malware, tecnologias de EDR –Endpoint Detection and Response e
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
análise de rede detectariam o malware ou a anormalidade do tráfego. Além disso, os sistemas de ransomware, como serviço ou não, dependem da comunicação de comando e controle. Outro ponto notável do ataque ao país foi a inexistência de um sistema confiável de backup, como admitido pelas autoridades. O backup não irá bloquear o ataque, e nem impedir que os dados roubados sejam vendidos ou publicados, mas é essencial na recuperação de sistemas e bancos de dados. É uma certeza de que o grau de confiança dos grupos hacker aumenta na mesma proporção em que percebem a ausência de rotinas de backup, ou se conseguem também acesso a esses sistemas.
Por fim, a monitoração, ou o SOC – Security Operation Center e seus playbooks. Por mais que a instituição tenha investido em segurança, é necessário monitoramento constante para uma reação rápida. Nem estou citando ainda as ações proativas como o threat-hunting, reservado para empresas mais avançadas e maduras nas práticas de segurança. Qualquer companhia possui em seus edifícios alarmes de incêndio que, se acionados, alertam o grupo de combate a fogo. O conceito é o mesmo. O tal sensor de calor não impede o fogo, e nem os sprinklers são capazes de fazê-lo em determinadas situações, apesar de dar o combate inicial enquanto os bombeiros não chegam. Tem que haver um alerta, e as equipes têm que saber o que fazer ao recebê-lo.
Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.
