A "era dourada" do "ransomware". Como prevenir e lidar com um sequestro de dados
04-01-2022 - 13:00
 • Inês Rocha

A grande maioria das empresas portuguesas está na "geração 3" da cibersegurança e os ataques estão na "geração 6", alerta especialista. Saiba como proceder para evitar ataques de ransomware como o que o grupo Impresa enfrenta, cada vez mais frequentes.

Dois dias depois de o grupo de piratas informáticos Lapsus$ Group ter atacado os sites do Grupo Impresa, os sites continuam indisponíveis.

A Polícia Judiciária confirmou à Renascença estar a investigar o caso, juntamente com o Centro Nacional de Cibersegurança (CNCS), como já tinha adiantado o grupo de media.

Esta demora em repor os sistemas é comum em ataques como este. Segundo Rui Duro, responsável da Check Point Software em Portugal, o tempo necessário para fazer face a estes ataques varia muito.

“Depende muito da dimensão da empresa, do ataque, da capacidade da empresa em termos de tecnologias de informação (IT) e do quanto a empresa estava preparada para repor os sistemas. Numa empresa pequena, às vezes demora um dia ou dois, se for uma empresa grande pode até demorar várias semanas e às vezes pode implicar refazer toda uma infraestrutura”, explica à Renascença.

Ransomware vive "era dourada"

O ataque ransomware já se tornou uma ameaça real e próxima para empresas de todo o mundo - e Portugal não é exceção. Para a Agência Europeia para a Cibersegurança (ENISA), a pandemia trouxe com ela uma “era dourada” para cibercriminosos.

Segundo a agência, entre abril de 2020 e julho de 2021, registou-se um aumento de 150% nos ataques registados.

Em Portugal, ainda não há dados oficiais sobre o último ano, mas no relatório anual de segurança interna, referente a 2020, o ransomware já é identificado como “a forma de sabotagem informática mais comum, tendo mantido índices elevados de casos e afetado especialmente instituições do Estado e pequenas e médias empresas”.

Segundo este relatório, os ataques cibernéticos duplicaram em Portugal de 2019 (754 incidentes) para 2020 (1418 incidentes). Na área da Segurança da Informação, onde são predominantes os ataques de ransomware, em 2020 registaram-se cerca de 10 vezes mais incidentes do que em 2019.

Rui Duro, responsável da Check Point Software em Portugal, explica à Renascença que “90 a 95% dos casos não são reportados nem são conhecidos. As empresas acabam por recuperar através de backups e não reportam os ataques”.

Segundo dados de um estudo divulgado empresa que dirige, que cria soluções tecnológicas de segurança para as maiores empresas mundiais, as organizações portuguesas sofrem uma média de 947 ataques de malware por semana, um número superior à média global, de 870 ataques. Cerca de 90% dos ficheiros maliciosos chegam através de e-mail.

Dados da Check Point Software mostram ainda que em dezembro de 2021, os ataques de ransomware atingiram mais de 2,5% das empresas portuguesas.

O que é o Ransomware?

Um ransomware é uma forma de malware (combinação das palavras inglesas “malicious” e “software”) projetado para criptografar servidores e áreas de armazenamento de computadores.

Habitualmente, os “hackers” por detrás do ataque exibem mensagens a exigir o pagamento de uma quantia para descriptografar o sistema e devolvê-lo ao dono.

Como é que os hackers entram nas empresas?

Rui Duro explica que “normalmente o ransomware aparece nas empresas através do que nós chamamos da colocação de um ‘payload’ inicial dentro da empresa”.

Isto acontece de diferentes formas, como através de um ataque de phishing a um elemento da empresa. Outras vezes, alguém na empresa faz inadvertidamente "download" do malware.

Há ainda uma terceira via, quando os atores têm o propósito de atacar uma empresa específica e andam à procura de vulnerabilidades - isto é um “target attack”.

Depois de o malware inicial estar dentro da empresa, este faz download de um segundo malware, que por sua vez vai levar a cabo o ransomware. Começa então a fazer um movimento lateral, um “scan”, à procura de servidores e outros sistemas. O objetivo é ter o máximo de ganho possível - segundo o especialista, para os criminosos "não vale de nada encriptar um computador ou dois, a ideia é encriptar o máximo de computadores e, de preferência, os vitais".

Os hackers instalam então o malware no máximo de sistemas possível, mas este não encripta os dados de imediato. Normalmente, "deixa-se estar durante várias semanas, às vezes mais".

Quem ataca sabe que uma das formas de as empresas recuperarem é através de backups - por isso, esperam que haja um backup, e assim que ele é reposto, volta a haver infeção.

Quando se dá a encriptação, os criminosos fazem então pressão sobre as empresas, normalmente para pedir um resgate em dinheiro - normalmente, em criptomoedas.

Porque é que o ransomware é cada vez mais difícil de resolver?

Segundo o especialista em cibersegurança, os ataques de ransomware estão cada vez mais sofisticados, e vê-se cada vez mais os piratas a tentarem fazer “dupla ou tripla extorsão”.

Na dupla extorsão, “durante o período em que o malware está à espera do backup, copiam dados significativos de bases de dados, servidores de e-mail, servidores de meios financeiros, tentam procurar dados sensíveis e exportam quantidades gigantescas de dados. E dizem que não vale a pena tentar recuperar o serviço com backups, porque têm os dados reféns”.

No caso da tripla extorsão, com os dados sensíveis na sua posse, os piratas ameaçam direcionar ataques a clientes e fornecedores da empresa, caso esta não pague o resgate.

Porque tem aumentado tanto o risco?

Os tempos de pandemia facilitaram o crescimento deste tipo de ataques. Por um lado, o teletrabalho, que leva à dispersão dos sistemas, aumenta o risco. Por outro lado, são cada vez mais as aplicações a migrar os sistemas para a "cloud".

“Isto tem vários riscos associados”, diz Rui Duro. Os sistemas passam a estar “num outro prestador de serviço” e é necessário “comprar tecnologia também para a cloud, porque ela por si não é segura”.

Para o especialista, “esta evolução para a 'cloud' muitas vezes foi mais rápida do que a evolução do conhecimento dos colaboradores de tecnologias de informação”.

Por outro lado, muitas empresas foram ultrapassadas pela sofisticação dos ataques.

“Estamos na geração 6 dos ataques e a grande maioria das empresas está ainda na geração 3, num estágio de proteção muito prematuro face à evolução dos ataques. A mentalidade tem de mudar, tem de haver orçamento, recursos para nos adequarmos a esta nova realidade”, explica Rui Duro.

Como prevenir um ataque?

1 - Mudar mentalidades e assumir que vai acontecer

Para o especialista em cibersegurança, isto é o mais importante. "Eu tenho mais de 30 anos no mercado a trabalhar nesta área, comecei quando os ataques eram uma brincadeira, comparado com o que são hoje, mas ainda hoje vejo a decisores a acharem que ainda não é preocupante, não é relevante e a acharem que não lhes vai acontecer a eles. O primeiro passo é mudar essa mentalidade", diz à Renascença.

"Pode acontecer a todos, ainda há pouco tempo aconteceu à EDP. Quando acontecer tenho de estar preparado para isso", afirma.

2 - Levar a sério os os três pilares da cibersegurança: pessoas, processos e tecnologia

a) Pessoas

"Muitas vezes, mesmo as empresas que levam a sério a cibersegurança focam-se muito na tecnologia como forma de se protegerem e esquecem-se que é necessário formar as pessoas para terem um comportamento seguro", diz o especialista.

b) Processos

"É importante ter um processo para recuperar do desastre, de gestão e qualificação de informação, ter um processo eficaz de backups, ter repositórios de informação. Muitas empresas não estão preparadas e as primeiras horas são um caos completo, porque não tiveram o cuidado de preparar o processo para recuperar", revela.

c) Tecnologia

"Usar tecnologia adequada à realidade que temos hoje. Muitas empresas compram tecnologia e é o que eu chamo comprar uma “falsa sensação de segurança” - compram tecnologia mas ela já não é adequada à realidade que nós temos hoje. Isto é muito comum, compra-se a 'firewall' tradicional, em vez de comprar um 'endpoint' avançado que evite a encriptação dos sistemas, usa-se um 'endpoint' simples, que deteta alguns malwares mas não evita estas encriptações".

Fui alvo de Ramsomware. E agora?

Rui Duro, que já apoiou empresas que foram alvo deste tipo de ataques, revela que "são momentos de grande stress, de muita pressão". "Não gostaria de estar na pele das pessoas da Impresa", confessa.

"Há a frustração de os sistemas estarem infetados, há a pressão, porque de imediato vem a pergunta de vários lados, nomeadamente das administrações: 'como é que aconteceu'?"

"Há a pressão de repor os sistemas porque o negócio está parado, a imagem está em causa. São momentos de grande stress", resume.

O especialista lembra que, nestes casos, "o pânico não ajuda nada". Nestas situações, há que informar as autoridades e nunca pagar o resgate, já que isso é igual a perpetuar o crime, dizer aos criminosos que vale a pena.

Um dos processos que as empresas devem ter de antemão, para o especialista, é sobre como recuperar de um ataque destes, para que possa haver essa calma e para cada um saber o seu papel nesse processo.