Ransomware: como negociar com piratas informáticos?

"Na época medieval, nos castelos, os invasores procuravam o sítio por onde entravam os ratos para encontrarem os buracos e atacarem. Os hackers fazem o mesmo. Procuram os buracos". E esses são, várias vezes, fáceis de encontrar. A crescente divulgação de ataques ransomware (os especialistas dizem que não há aumento, mas sim uma "maior publicidade" dos mesmos) é a prova disso. As fragilidades nas redes e sistemas de várias empresas têm permitido aos hackers entrar, encriptar, destruir, barrar acessos e exigir resgates para repor tudo como estava. 

Porfírio Trincheiras, especialista em cibersegurança do AtelierLógico, explica à CNN Portugal que, depois da covid-19, "aquilo que já era um caminho de digitalização, agora é um caminho de digitalização acelerado" e, por isso, "o crime que há na sociedade transita para a internet".

"É como quando alguém quando raptava uma pessoa e pedia um resgate. No ransomware é exatamente a mesma coisa, só que não são pessoas, são dados. À medida que a digitalização vai avançando, o número de crimes digitais vão eventualmente crescendo. É a transferência para a sociedade digital", afirma.

Sociedade digital que muitas vezes se mete a jeito sem saber como. As fragilidades dos sistemas, em época de covid, multiplicaram-se. Há cada vez mais pessoas online, a trabalhar a partir de casa, muitas vezes em computadores partilhados pela família inteira e que, sem saber, acabam por dar uma porta aos hackers para entrarem nas entidades patronais.

"Se eu trabalho num computador partilhado em casa, computador esse onde o meu filho joga em sites mais ou menos duvidosos, e depois alguém se vai ligar através da VPN ao computador que ficou no servidor da empresa, há um problema", diz um dos especialistas com quem a CNN Portugal falou e que pediu anonimato.

Qual é a motivação? Dinheiro

Porfírio Trincheiras é claro quando a pergunta é a motivação de quem faz estes ataques: "aquilo a que assistimos nos últimos anos é que os ataques são sobretudo Ransomware, ou seja, têm sobretudo uma motivação financeira, coisa que não existia no passado".

"A esmagadora maioria dos ataques, são ataques que visam a obtenção de um resgate. Ou seja, há um incentivo financeiro ao ataque informático, e isso provoca, naturalmente, uma maior intenção de o realizar".

Mas, como é que os ataques se processam normalmente? E como é que se ganha dinheiro com eles? Se depender dos especialistas de cibersegurança contactados pela CNN Portugal, não ganham

"Depois de conseguir uma entrada, encriptam-se os dados todos, com uma chave, que só quem ataca é que tem e que só a devolve a troco de dinheiro, normalmente pago sob a forma de criptomoedas e, sobretudo, em criptomoedas que não são possíveis seguir. (...) Eu nunca paguei nem sequer tentei contactar [os hackers]", garante Trincheiras.

Também Ricardo Negrão, especialista na área de Cyber Risk, é peremptório: "1.ª recomendação, não pagar. 2.ª recomendação, não pagar. 3.ª recomendação, não pagar. Sempre não pagar".

Porquê? "Por duas razões. A primeira razão: 60% das empresas que pagaram não conseguiram ficar com o resgate, não funcionou. 60% no mundo. Pagam e não ficam com os dados ou não conseguem evitar que os dados sejam divulgados publicamente. Segundo factor: se eu paguei, estou a financiar este tipo de atividade. Neste momento, já há indícios claros de que os atacantes que fazem ransomware atacam e pedem os resgates no valor da cobertura da apólice de seguro que a empresa tem porque sabem que até àquele valor conseguem ir, mais do daquilo talvez não".

E agora?

Mas, se não pagamos, como é que vamos reaver os nossos dados? O professor António Pinto da Escola Superior de Tecnologia e Gestão do Instituto Politécnico do Porto explica que "é preciso recorrer a backups e ter tempo". 

"A reposição do sistema leva tempo. Não há uma solução rápida, quer se pague ou não", explica em entrevista à CNN Portugal, acrescentando que para conseguirem fazer reposição do sistema é preciso ter os backups salvaguardados fora da rede que foi atacada e ter também um servidor "a salvo" onde esse backup possa ser reposto.

Porfírio Trincheiras diz mesmo que esse é "um dos erros mais comuns das nossas empresas: o sistema coexiste na mesma rede".

Um especialista contactado pela CNN Portugal, que pediu o anonimato, diz que "não basta repor". Para além do backup também é preciso assegurar que os "servidores são higenizados" antes de fazer o quer que seja.

"É muito importante antes das pessoas fazerem a reposição do backup, seja feita uma cópia forense, ou seja, uma cópia dos locais que estão "infetados" para fazer uma análise. E ao mesmo tempo, só depois de fazer essa cópia, é que se pode iniciar o processo de reposição", explica, dizendo ainda que só de "repõe o que é essencial, o mínimo indispensável até se descobrir por onde é que as coisas aconteceram para se corrigir a vulnerabilidade".

Até porque é importante "perceber se não há outro tipo de spyware ou ransomware nas redes" que não vai deixar a empresa nas mãos dos hackers no futuro.

"Não é incomum que meses depois do ataque mal resolvido há outro tipo de ataques, fraudes financeiras por exemplo, e como não se corrigiu o ponto de entrada ficam vulneráveis para um ataque de outras caracteristicas: roubo de identidade intelectual ou fraudes financeiras".

Recuperar sistemas sem pagar é possível?

Respondendo de forma geral, sim. E os especialistas contactados pela CNN Portugal garantem que é assim que têm conseguido recuperar as empresas que os contratam depois de terem sido invadidas e bloqueadas fora do "castelo".

António Miguel Ferreira, Managing Director da Claranet, diz que os pedidos de ajuda chegam, normalmente, "numa questão de poucas horas", e que a disponibilidade tem de ser "para intervenção imediata". Depois de lançado o alerta, é hora de meter mãos à obra para voltar a colocar tudo a funcionar.

"Focamo-nos na recuperação dos recursos, plataformas, aplicações afetadas e em voltar a colocá-los operacionais. E também nos focamos na análise pós-ataque, para minimizar o risco das empresas de situações semelhantes futuras. A cibersegurança é uma preocupação que tem que estar presente no planeamento e nos processos de cada empresa e o nosso papel é dar esse apoio e competências necessárias".

Contactar os hackers é que não é opção para quem trabalha nesta área até porque, como já dissemos, isso não é garantia de que o ataque cesse e os dados sejam repostos.

"O nosso foco de atuação é a recuperação dos sistemas, através de recursos exclusivamente técnicos e não no âmbito de uma negociação. Claro que essa recuperação é tanto mais fácil quanto mais preparada a empresa estiver. Se tiver sido feito o devido planeamento e investimento antecipadamente, a recuperação é possível, reduzindo o risco e o impacto de eventuais ataques. Quando o planeamento prévio é descurado, o risco é elevado e o impacto pode ser muito significativo. As empresas não podem confiar apenas na sorte", acrescenta o especialista da Claranet.

Também o especialista em cibersegurança do AtelierLógico diz que a recuperação a partir de backups é o método escolhido por si, mesmo que isso leve tempo e obrigue a passos controlados.

"Nunca paguei nem sequer tentei contactar. Sempre repus o sistema a partir de backups e tive o cuidado de verificar se havia dados pessoais que tinham sido afetados, não tive nenhum caso em que tivesse dados pessoais afetados. O que tive foi contas afetadas, usernames e passwords e nós procedemos ao bloqueio imediato das contas todas e fomos reativando à medida que as pessoas iam aparecendo novamente. [O problema é que] Não sabes se vais reaver. A tentativa de contacto para dares a chave pode dar origem para seres apanhado. Ao deixares logo as informações como deves pagar, o dinheiro transita anonimamente pela internet, nunca mais o vês e o mais provável é que não tenhas a chave", reitera Porfírio Trincheiras. 

Dicionário de ransomware/cibersegurança