Dizem que não há crime perfeito, este podemos dizer que é quase. Ramsomware, guarde este nome. No início, há uns anos, confesso ter imaginado que era apenas uma nova forma de golpe digital, desses que a gente ouve falar todos os dias. Geralmente, as pessoas acabam se informando, sistemas de segurança melhoram, os criminosos mudam suas estratégias.
Estamos diante de algo diferente, uma nova modalidade de criminalidade que usa a tecnologia para se aproveitar da lógica da mudança de valores. Os dados são o petróleo do século XXI. Empresas e governos dependem deles para funcionar, não é o futuro, é o presente.
Ramsomware é o “sequestro” de dados. A quadrilha invade um sistema e inviabiliza o acesso do dono aos próprios dados. Então pede o resgate em criptomoedas. Você pagaria? No começo, ninguém pagava, mas o caso é que eles sempre devolvem. Virou uma indústria bilionária e um problema geopolítico.
O primeiro caso que chamou minha atenção foi aqui no Brasil, em 2019. O Porto de Fortaleza ficou sem funcionar. Descobri que não era o único premiado. Àquela altura, Câmaras Municipais, forças policiais e diversas empresas já haviam sido atacadas em todo o mundo.
Em 2018, uma empresa chamada Trend Micro fez a pesquisa “Smart Protection Network”, mostrando que 51% das empresas já haviam sofrido ataques ramsomware. Alguns tinham sido bem sucedidos e outros não, foram interrompidos. Avalie o potencial desse tipo de crime após a digitalização forçada pela pandemia.
Você viveu este período. A digitalização forçada foi feita para apagar incêndio, não planejada. As brechas de segurança ficaram para depois. Os criminosos, também confinados, precisavam encontrar novos meios de subsistência. Todo tipo de mercado se reinventou, inclusive o do crime.
O ano de 2020 foi decisivo para a organização das quadrilhas de ramsomware. O FBI identificou que a maioria dos golpes vinha de 12 cartéis, que faturaram US$ 18 bilhões no primeiro ano da pandemia. Antes, os pedidos de resgate eram na faixa dos US$ 150 mil. Por aqui, havia até pedidos de R$ 5 mil. Com a digitalização forçada, surgiram novas oportunidades.
Um oleoduto bloqueado nos Estados Unidos pagou US$ 4,4 milhões para poder voltar a funcionar antes de comprometer a economia global. Este ano, a brasileira JBS pagou US$ 11 milhões para ter seus dados de volta. A CVC ficou 12 dias sem poder operar na bolsa de valores devido a um ataque ramwsomware. Não é sabido se e quanto a empresa pagou.
Os Estados Unidos foram o país mais atacado, numa posição absurdamente destacada em relação aos demais. O DOJ decidiu criar um departamento especificamente dedicado à investigação internacional de ramsomware. Quadrilhas começaram a ser identificadas e o governo norte-americano acusou oficialmente e abertamente a Rússia de proteger e cooptar esses criminosos.
Os cartéis de ramsomware têm uma estrutura curiosa que mistura a de células terroristas tradicionais com a dos cartéis de drogas colombianos do final do século passado. Nem todas as pessoas de um cartel se conhecem, as células funcionam separadamente, em diversos locais do mundo. Pegar um não significa chegar a todos. Quem financia as operações tem relações de rivalidade mas também de parceria com outros cartéis.
Cartéis unem-se em negócios específicos, financiam a atuação de células e até a busca por novos mercados. Utilizar este modelo sem a necessidade de transporte físico de mercadoria e dinheiro facilita muito a vida dos criminosos e dificulta a das autoridades. Além disso, traz um problema grave porque não há fronteira real para eles.
As primeiras investigações do FBI mostraram que diversos desses criminosos estavam em solo russo. Há acusações diretas de proteção a alguns deles, em um esquema em que não seriam extraditados por crimes no exterior e também não atacariam empresas e o governo da Rússia.
Já houve conversas entre os dois governos sobre o tema. O governo da China também preocupa-se bastante com a questão, mas está em situação diferente, já que domina com mão forte todo sistema de tecnologia e dados do país.
“Nós não temos um problema de ramsomware, nós temos um problema de Rússia”. A frase forte foi postada no Twitter por Dmitri Alperovitch, especialista em segurança na web, fundador do grupo CrowdStrike e CEO do Think Tank Silverado Policy Accelerator.
https://twitter.com/DAlperovitch/status/1392335162667671555
O cenário mudou bastante este ano porque o crime perfeito deixou de ser perfeito. O FBI já consegue recuperar resgate pago em criptomoedas e rastrear integrantes de quadrilhas de ramsomware.
Neste mês de novembro de 2021, o FBI prendeu na polônia um cidadão ucraniano envolvido com o ataque à empresa de software Kaseya. Foram recuperados US$ 6,1 milhão do resgate. Em outra operação, não houve prisões mas foram identificados os responsáveis e resgatados US$ 2,3 milhões.
Conforme as autoridades norte-americanas tornam-se mais eficientes no combate ao ramsomware, a tendência é que outros países tornem-se alvos. Abordo aqui apenas uma possibilidade deste tipo de ação, a de obter o resgate em criptomoedas pelos dados sequestrados, mas há inúmeras outras.
Os dados em si têm valor inestimável. Caso vazem, podem alterar relações políticas entre países e o valor de empresas na bolsa. Podem, inclusive alavancar o preço das criptomoedas específicas nas quais os criminosos pedem o resgate. É um tipo de criminalidade que não está mais exatamente à margem, manipula o sistema, infiltra-se sem precisar infiltrar indivíduos.
Este tipo de criminalidade desafia autoridades de todos os países. Serão necessários acordos e alianças estratégicos para que estes criminosos não acumulem poder demais a ponto de subjugar forças que hoje são maiores que eles. As grandes potências já acordaram, mas o tema ainda parece ficção científica para a maioria das pessoas.
Você saberia identificar se está acontecendo um ataque ramsomware no seu computador? Eu não. Então resolvi conversar com quem entende e dividir isso com você. O Mauricio di Cunto, perito forense especializado em dados eletrônicos para tribunais.
A primeira coisa é saber que os ataques ultimamente são direcionados a empresas maiores e órgãos públicos, lugares que têm um sistema interligado. Nessas situações é que precisamos ter atenção e sair do piloto automático de ficar tentando reiniciar máquina ou consertar as coisas.
A maior chance de reverter e até evitar o ataque está em perceber logo e desligar todos os computadores da rede, mesmo que seja desconectando fisicamente a ligação com internet e servidor.
Os ataques seguem sempre a mesma sequência. Alguma área começa a ter dificuldades para acessar o banco de dados que usa sempre. Por exemplo, um dos relatos que ouvi começava com as recepcionistas tendo dificuldades para acesso às agendas da empresa.
Pouco a pouco, outros setores vão tendo problemas semelhantes, que não parecem tão graves. É sempre não conseguir acessar algum dado usado no dia a dia. Nossa tendência é ficar tentando ou reiniciar a máquina, aprendemos assim. O golpe foi desenhado para contar com essa reação. Se, em vez de fazer isso, a pessoa desconecta a máquina e chama o TI, a chance de sucesso cai bastante.
Parece assustador como tudo o que é novo. Por um lado a tecnologia faz com que o crime organizado tenha superpoderes e tentáculos inimaginávies. Mas, por outro, também diminui a necessidade de uso da violência e deixa rastros que antes não ficavam marcados.
Vivemos uma era de mudanças. A principal delas talvez seja enfrentar mais uma polarização, entre o institucional e o desafio à institucionalidade. Se superpotências rivais não estiverem unidas, podem ficar de joelhos diante de quem tem poderes para desafiar a institucionalidade. Caso cedam demais, colocam em risco sua visão de mundo. É um desafio e tanto.