Ransomware: como uma senha fraca permitiu que hackers falissem empresa de 158 anos
-
- Author, Richard Bilton
- Role, BBC Panorama
Acredita-se que uma única senha tenha sido suficiente para que uma gangue de ataque cibernético do tipo ransomware destruísse uma empresa de 158 anos — e deixasse 700 pessoas sem emprego.
A KNP, empresa de transportes de Northamptonshire, é apenas uma das dezenas de milhares de empresas do Reino Unido que foram alvo de ataques deste tipo.
Grandes companhias, como M&S, Co-op e Harrods, foram atacadas nos últimos meses. O CEO da Co-op confirmou na semana passada que todos seus 6,5 milhões de usuários tiveram seus dados roubados.
No caso da KNP, acredita-se que os hackers conseguiram entrar no sistema de computador adivinhando a senha de um funcionário e, em seguida, criptografaram os dados da empresa e bloquearam seus sistemas internos.
O diretor da KNP, Paul Abbott, diz que não contou ao funcionário em questão que sua senha comprometida provavelmente levou à destruição da empresa.
“Você gostaria de saber se fosse você?”, ele pergunta.
“Precisamos que as organizações tomem medidas para proteger seus sistemas, para proteger seus negócios”, afirma Richard Horne, CEO do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC, na sigla em inglês), onde a reportagem do programa Panorama, da BBC, teve acesso exclusivo à equipe que combate gangues internacionais de ataques do tipo ransomware.
Um pequeno erro
Em 2023, a KNP estava operando 500 caminhões — a maioria sob a marca Knights of Old.
A empresa afirmou que sua TI estava em conformidade com os padrões do setor, e que havia contratado um seguro contra ataques cibernéticos.
Mas uma gangue de hackers, conhecida como Akira, entrou no sistema, deixando a equipe incapaz de acessar os dados necessários para administrar a empresa. A única maneira de obter os dados de volta, disseram os hackers, era pagar um resgate.
“Se você está lendo isso, significa que a infraestrutura interna da sua empresa está total ou parcialmente inoperante. Vamos guardar todas as lágrimas e ressentimentos para nós mesmos e tentar construir um diálogo construtivo”, dizia a nota sobre pagamento de resgate.
Os hackers não indicaram um valor, mas uma empresa especializada em negociação em ataques do tipo ransomware estimou que a quantia poderia chegar a 5 milhões de libras (cerca de R$ 37 milhões). A KNP não tinha esse dinheiro. No fim das contas, todos os dados foram perdidos, e a empresa foi à falência.
O NCSC afirma que seu objetivo é “tornar o Reino Unido o lugar mais seguro para se viver e trabalhar online” — e diz que lida com um grande ataque todos os dias.
A organização faz parte da Agência de Comunicações do Governo (GCHQ, na sigla em inglês), um dos três principais serviços de segurança do Reino Unido, ao lado do MI5 e o MI6.
Os hackers não estão fazendo nada de novo, diz “Sam” (nome fictício), que lidera uma equipe do NCSC que lida com ataques diários. Eles estão apenas à procura de um elo fraco, diz ele ao Panorama.
“Estão sempre encontrando organizações em um dia ruim e tirando proveito delas.”
Por meio de fontes de inteligência, os agentes do NCSC tentam detectar ataques e expulsar os hackers dos sistemas de computador antes que eles possam implantar o software malicioso.
“Jake” (nome fictício) era o agente de plantão noturno durante um incidente recente em que hackers foram detidos.
“Você entende a dimensão do que está acontecendo e quer reduzir os danos”, diz ele. “Pode ser emocionante, especialmente se formos bem-sucedidos.”
Mas o NCSC só pode oferecer uma certa camada de proteção, e o ataque do tipo ransomware é um crime crescente e lucrativo.
“Parte do problema é que há muitos hackers”, diz Sam. “E não somos muitos.”
As estatísticas são difíceis de obter porque as empresas não precisam denunciar ataques ou se pagaram resgates. No entanto, estima-se que houve 19 mil ataques do tipo ransomware a empresas do Reino Unido no ano passado, de acordo com o levantamento de segurança cibernética do governo.
Pesquisas do setor indicam que o valor do pedido de resgate típico é de cerca de 4 milhões de libras (aproximadamente R$ 30 milhões) no Reino Unido, e que cerca de um terço das empresas simplesmente paga.
“Temos visto uma onda de ataques cibernéticos criminosos nos últimos anos”, observa Richard Horne, CEO do NCSC. Ele nega que os criminosos estejam vencendo, mas diz que as empresas precisam melhorar sua segurança cibernética.
Se a prevenção não funcionar, outra equipe de agentes da Agência Nacional de Combate ao Crime (NCA, na sigla em inglês), tem a tarefa de capturar os criminosos.
Os ataques estão em alta porque são muito lucrativos, diz Suzanne Grimmer, que chefia uma equipe da NCA.
A unidade dela realizou a avaliação inicial do ataque à M&S, rede de varejo britânica.
Os incidentes quase dobraram para cerca de 35 a 40 por semana desde que ela assumiu a unidade há dois anos, diz Grimmer.
“Se continuar assim, prevejo que este será o pior ano já registrado para ataques do tipo ransomware no Reino Unido.”
A invasão está se tornando mais fácil, e algumas das táticas não envolvem nem sequer um computador — como, por exemplo, ligar para o suporte de TI para obter acesso.
Isso reduziu a barreira para possíveis ataques, explica Grimmer. “Esses criminosos estão se tornando muito mais capazes de acessar ferramentas e serviços para os quais você não precisa de um conjunto de habilidades técnicas específicas.”
Os hackers da M&S invadiram o sistema da empresa por meio de manipulação ou truques. Isso causou transtornos para os consumidores, como atrasos nas entregas e algumas prateleiras vazias, e os dados dos clientes também foram roubados.
James Babbage, diretor geral da área de ameaças da NCA, diz que essa é a característica de uma geração mais jovem de hackers, que agora está “entrando no crime cibernético provavelmente por meio de games”.
“Eles estão reconhecendo que esse tipo de habilidade pode ser usado para enganar as centrais de suporte de TI e afins para que tenham acesso às empresas.”
Uma vez lá dentro, os hackers podem usar um software para ataque do tipo ransomware, comprado na dark web, para roubar dados e bloquear sistemas de computador.
De acordo com Babbage, o ataque do tipo ransomware é a ameaça de crime cibernético mais significativa que enfrentamos.
“É uma ameaça à segurança nacional por si só, tanto aqui quanto no mundo todo.”
Outros chegaram à mesma conclusão.
Em dezembro de 2023, o Comitê Conjunto do Parlamento sobre a Estratégia de Segurança Nacional alertou que havia um alto risco de um “ataque catastrófico do tipo ransomware a qualquer momento”.
No início deste ano, o Serviço Nacional de Auditoria elaborou um relatório que dizia que a ameaça ao Reino Unido era grave e estava avançando rapidamente.
As empresas precisam “pensar na segurança cibernética em todas as decisões que tomam”, diz Richard Horne, do NCSC.
Babbage afirma que também não aconselha as vítimas a pagar resgates.
“Cada vítima precisa fazer sua própria escolha, mas é o pagamento de resgates que alimenta esse crime”, diz ele.
O governo propôs a proibição do pagamento de resgates por parte de órgãos públicos.
As empresas privadas podem ter que denunciar ataques com pedido de resgate e obter permissão do governo para pagar.
Em Northamptonshire, Paul Abbott, da KNP, agora dá palestras alertando outras empresas sobre a ameaça cibernética.
Ele acredita que as empresas deveriam ter que provar que possuem proteção de TI atualizada, uma espécie de “vistoria veicular cibernética”.
“É preciso haver regras que tornem as empresas muito mais resilientes a atividades criminosas”, diz ele.
No entanto, muitas empresas estão optando por não denunciar o crime, e simplesmente pagar os criminosos, diz Paul Cashmore, um especialista em cibernética contratado pelas seguradoras da KNP.
Diante da possibilidade de perder tudo, as empresas cedem às gangues.
“Isso é crime organizado”, ele afirma. “Acho que há muito pouco avanço na captura dos criminosos, mas é devastador.”
