Ransomware no setor financeiro: Velhos motivos numa ótica sofisticada!

Embora os primeiros roubos a bancos tenham registros há mais de 150 anos, a motivação desta prática ainda é a mesma: os criminosos miram onde está o dinheiro.  Ao longo da história, esses crimes escalaram de forma assustadora e, mesmo com toda a modernização e políticas rígidas, o setor financeiro, que guarda os dados pessoais e financeiros mais sensíveis dos clientes – ainda é o alvo mais importante nos ataques de ransomware, superando todos os outros setores em frequência e tentativas.

As estatísticas são, no mínimo, chocantes:

• Um relatório da Palo Alto Networks revela que o setor de Serviços Profissionais e Jurídicos foi o mais visado por violações de ransomware em 2021, com mais de 1.100 vítimas listadas em diversos sites. O segundo lugar ficou para Construção, com quase metade dos registros, uma enorme diferença.
• De acordo com o Fed de Nova York, as instituições financeiras estão sujeitas a até 300 vezes mais ataques cibernéticos por ano do que qualquer outro setor.
• Levando em consideração o tempo de inatividade, tempo das pessoas, custo dos dispositivos e redes, oportunidades perdidas, resgates pagos e fatores similares, o custo médio de um ataque de ransomware em uma instituição financeira de pequeno e médio porte é de US$ 2,1 milhões. A conta média para grandes empresas é muito maior.

Ataque aos fracos

A forma como os criminosos escolhem as vítimas também não foge do tradicional: os criminosos procuram por fraquezas e as exploram. Hoje, os cibercriminosos sabem que as instituições financeiras são empresas complexas com sistemas legados projetados para outra era e isso as torna vulneráveis. Os dados armazenados são especialmente sensíveis em comparação com outros setores, tanto que muitas vezes contêm o pacote completo de informações do cliente, incluindo CPF/CNPJ, endereço e data de nascimento, que é o sonho de todo hacker. As infraestruturas legadas de armazenamento foram projetadas aos poucos para proteger um número limitado de máquinas, como dentro de uma mesa de operações ou de um departamento, em ambientes isolados. Isso os torna inadequados para a era da nuvem e criam um alvo perfeito para ataques de ransomware.

Entre a cruz e a espada

Restaurar uma empresa inteira após um ataque é uma tarefa altamente complexa e pode levar dias ou até meses para que os sistemas voltem ao normal. No entanto, os criminosos exigem ação imediata: paguem ou sofram as consequências. E estas consequências podem ser terríveis. Um único ataque pode se espalhar globalmente, muito além da própria instituição, e resultar em interrupções de operações corporativas ou até mesmo falências de clientes se eles não puderem acessar os fundos necessários. Isso é agravado por possíveis riscos de compliance e responsabilidades legais, incluindo a incapacidade de atender aos Objetivos do Ponto de Recuperação (RPOs) e Objetivos do Tempo de Recuperação (RTOs) de missão crítica.

Na verdade, mesmo que uma empresa decida pagar para recuperar os dados, ainda correm o risco de penalidades que efetivamente jogam sal na ferida. De acordo com o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA, as empresas que facilitam pagamentos de ransomware correm o risco de violar proibições de sanções, mesmo que não tenham motivos para saber que a transação envolveu uma pessoa ou entidade sancionada. Dá um novo significado para “conheça o seu cliente!”

Os estágios do ataque de ransomware

Surpreendentemente, existem padrões distintos para um ataque de ransomware e todos compartilham um ciclo de vida comum, independentemente do objetivo, seja espionagem cibernética ou extorsão de dinheiro. O ciclo de vida pode ser dividido em três estágios – antes, durante e depois. 

Antes

O invasor lança uma campanha, que pode ser enviada por e-mail, para induzir a equipe a instalar um software que faz uma ligação direta para um número específico – pode ser para um contato de emergência, por exemplo. Uma vez dentro do perímetro de segurança, o agente irá se esconder ou “habitar” o ambiente e implementar uma carga útil de ransomware. Um cibercriminoso também pode usar esse tempo para criar backdoors em vários sistemas ou outros arquivos confidenciais, caso o ataque inicial seja descoberto. Isso porque com os backdoors é possível escapar de uma autenticação ou criptografia.

Durante

Enquanto um ataque está em andamento, a carga útil do ransomware se concentra nos backups, com ênfase na criptografia dos arquivos mais recentes (mais ativos). É aqui que uma solução como os snapshots se torna crucial, para criar cópias seguras de arquivos do backup que não podem ser erradicadas, modificadas ou criptografadas, mesmo que os hackers possuam credenciais de administrador.

Depois

Por fim, é enviada uma demanda que promete que as chaves privadas para descriptografar/recuperar os arquivos serão entregues se o pagamento for realizado. O problema é que, mesmo que o agente da ameaça envie as chaves, elas geralmente não funcionam ou nem todos os arquivos afetados podem ser restaurados. E, é claro, não há garantias de que novos ataques não serão realizados ou que dados confidenciais não serão vazados para a mídia, postados na internet, vendidos na dark web ou algo parecido.

O melhor momento para agir é agora

A boa notícia é que existem caminhos para aumentar a segurança. A modernização das abordagens de proteção de dados caminha em alta velocidade para acompanhar as evoluções tecnológicas e transformações necessárias no setor. Há muito que uma instituição financeira pode fazer para criar barreiras de proteção e meios de rápida recuperação em casos de ataques de ransomware. É fundamental que os líderes busquem soluções que suportem integrações e possam conversar entre si para que a agenda de segurança cibernética possa ser colocada em prática da forma mais completa possível e efetivamente segura.

Por Paulo de Godoy, country manager da Pure Storage