Sequestro digital: o que é e como as empresas devem agir

Você sabe o que a Secretaria do Tesouro Nacional, a JBS, a Prefeitura de Taboão da Serra (SP) e a Lojas Renner têm em comum? Este ano todas foram alvo de sequestros virtuais, quando criminosos invadem sistemas de organizações, assumindo seu controle, e as chantageiam pedindo grandes montantes financeiros para devolver o acesso.

De acordo com Osmany Arruda, professor de Infraestrutura de Cloud e Segurança e Arquitetura do curso de Sistemas da Informação da ESPM, isso ocorre por meio de ataques de ramsomware, um malware que bloqueia as informações de computadores de empresas ou pessoas físicas.

“O ramsomware trabalha com base no uso ilegítimo de criptografia, originalmente feita para garantir a confidencialidade dos dados, tornando-os ilegíveis”, explica o especialista em segurança da informação e perícia forense computacional.

Uma das técnicas utilizadas pelos cybercriminosos para invadir o sistema de uma empresa é o spear phising. “O ofensor se passa por alguém que tem um cargo alto dentro da empresa e ataca no momento certo. Por exemplo, ele pode ficar muito tempo monitorando os e-mails de um diretor e quando este viaja a trabalho o ofensor envia um e-mail para a secretária do executivo, inventando alguma história sobre uma dificuldade de acesso ao aplicativo do banco para realizar uma transferência, e pede que ela faça a operação para uma conta que ele designa”, diz Arruda, citando um crime corriqueiro.

Outra maneira é enviar um link malicioso ao e-mail de um funcionário e a partir dele o ramsomware é instalado na rede da organização. Esse malware então criptografa os dados – impedindo que sejam acessados – e os criminosos pedem um resgate para devolver o acesso ao proprietário do sistema. O pagamento geralmente é feito em bitcoin, método que dificulta o rastreamento.

Em alguns casos, o ramsomware também é utilizado para um processo de exfiltração, copiando os dados e os vazando aos poucos para não haver detecção pelos mecanismos de segurança da informação da empresa.

Quando foi vítima de um sequestro digital em meados de 2021, a subsidiária da JBS nos Estados Unidos pagou US$ 11 milhões (R$ 55 milhões à época) aos criminosos para recuperar o seu sistema. Segundo a companhia, essa decisão foi tomada para reduzir problemas relacionados à invasão e evitar o vazamento de dados.  “Foi uma decisão difícil”, afirmou Andre Nogueira, CEO da JBS USA. “No entanto, sentimos que essa decisão deveria ser tomada para evitar qualquer risco potencial para nossos clientes”.

Mas essa prática não é recomendada. “A orientação geral de muitos especialistas é não atender ao pedido do ofensor a fim de não incentivar a continuidade de tal prática”, afirma Arruda, complementando que quando existe exfiltração de dados de pessoas físicas, além dos processos internos para sanar o problema, a empresa tem que agir em conformidade com o que é disposto pela LGPD (Lei Geral de Proteção de Dados) e, quando determinado por esta por esta, notificar as pessoas impactadas.

Arruda é direto ao afirmar que, de maneira geral, as empresas ainda tem que amadurecer e refinar seus processos relacionados à segurança da informação e desenvolvimento de softwares, entre outros, a fim de mitigar riscos e o impacto decorrente de incidentes de segurança efetivamente comprovados, “tendo sempre em vista que não existem sistemas 100% seguros e segurança da informação é um processo de melhoria contínua”, conclui.

LEIA TAMBÉM:

8 dicas de segurança para proteger seu smartphone e seus dados pessoais

Provas digitais: um print do WhatsApp tem valor jurídico?

O que é um algoritmo e como influencia nossas escolhas