Gettyimages-551984543-2.jpg

A história da tecnologia está repleta de consequências indesejadas. Como William Gibson escreveu em Burning Chrome, “… a rua encontra seu próprio uso para as coisas.” Embora o Bitcoin possa não ter sido originalmente concebido como um meio para pagamentos de resgate, ele rapidamente se tornou uma ferramenta central para criminosos online.

Ransomware, uma categoria de ” malware ” , bloqueia o acesso a um computador ou rede até que o resgate seja pago. Apesar dos esforços crescentes dos governos para  regular a criptomoeda  e  mitigar seu papel nos pagamentos de ransomware , os ataques continuam chegando.

Os pagamentos de ransomware de criptomoeda totalizaram cerca de US $ 350 milhões em 2020, de  acordo com a Chainanalysis  – um aumento anual de mais de 300% a partir de 2019. E como as empresas americanas são legalmente obrigadas a relatar ataques cibernéticos apenas se as informações pessoais dos clientes  forem comprometidas, essa estimativa pode ser muito conservador.

 

Abaixo, registramos os danos de alguns dos episódios de maior perfil.

Kaseya (2021)

Em 2 de julho de 2021, a Kaseya anunciou que seus sistemas haviam sido infiltrados . A Kaseya fornece soluções de TI para outras empresas – um alvo ideal que, em um efeito dominó, acabou impactando aproximadamente 1.500 organizações em diversos países. REvil, uma organização cibercriminosa, assumiu a responsabilidade pelo ataque e exigiu resgates que variam de alguns milhares de dólares a vários milhões, de acordo com um relatório da Reuters .

Não está claro quantas empresas individuais pagaram, mas REvil exigiu US $ 70 milhões em bitcoin da Kaseya. A Kaseya se recusou a pagar, optando por cooperar com o FBI e a Agência de Infraestrutura e Segurança Cibernética dos Estados Unidos. Em 21 de julho de 2021, a Kaseya obteve uma chave de descriptografia universal e a distribuiu para as organizações afetadas pelo ataque.

JBS (2021)

Em 31 de maio de 2021, a JBS USA, uma das maiores fornecedoras de carne dos Estados Unidos, divulgou  um hack que a levou a interromper temporariamente as operações em suas cinco maiores fábricas com sede nos Estados Unidos. O ataque de ransomware também interrompeu as operações da empresa na Austrália e no Reino Unido. A JBS pagou aos hackers um resgate de US $ 11 milhões em Bitcoin para evitar mais interrupções e limitar o impacto em supermercados e restaurantes. O FBI atribuiu o hack ao REvil, um sofisticado grupo criminoso conhecido em ataques de ransomware.

Pipeline colonial (2021)

Em 7 de maio de 2021, o maior pipeline de “produtos refinados” da América ficou offline depois que um grupo de hackers chamado Darkside o infiltrou com ransomware. O Pipeline colonial cobre mais de 5.500 milhas e transporta mais de 100 milhões de galões de combustível diariamente. O impacto do ataque foi significativo: nos dias que se seguiram, o preço médio de um galão de gasolina nos Estados Unidos aumentou para mais de US $ 3 pela  primeira vez em sete anos, enquanto os motoristas corriam para as bombas.

A operadora do duto disse que pagou aos hackers US $ 4,4 milhões em criptomoeda. Em 7 de junho de 2021, o DOJ anunciou que havia  recuperado parte do resgate. As autoridades policiais dos EUA conseguiram rastrear o pagamento e recuperar US $ 2,3 milhões usando uma chave privada para uma carteira de criptomoeda.

Brenntag (2021)

Em 28 de abril de 2021, o distribuidor de produtos químicos alemão Brenntag soube que era alvo de um ataque cibernético da Darkside, que roubou 150 GB de dados que ameaçava vazar se os pedidos de resgate não fossem atendidos. Depois de negociar com os criminosos, a Brenntag acabou negociando o resgate original de US $ 7,5 milhões para  US $ 4,4 milhões , que pagou em 11 de maio.

CNA Financial (2021)

Em 23 de março de 2021, a CNA Financial, a sétima maior seguradora comercial dos Estados Unidos, divulgou que havia “sustentado um sofisticado ataque à segurança cibernética”. O ataque foi realizado por um grupo chamado Phoenix, que usava um ransomware conhecido como Phoenix Locker. A CNA Financial acabou pagando US $ 40 milhões em maio para obter os dados de volta. Embora a CNA tenha mantido silêncio sobre os detalhes da negociação e transação, diz que todos os seus sistemas foram totalmente restaurados.

CWT (2020)

Em 31 de julho de 2020, a empresa de gestão de viagens de negócios dos EUA CWT divulgou que foi afetada por um ataque de ransomware  que infectou seus sistemas – e que pagou o resgate. Usando um ransomware chamado Ragnar Locker, os assaltantes alegaram ter roubado arquivos corporativos confidenciais e colocado off-line 30.000 computadores da empresa.

Como prestadora de serviços para um terço das empresas do S&P 500, a divulgação de dados poderia ter sido desastrosa para os negócios da CWT. Assim, a empresa pagou aos hackers cerca de US $ 4,5 milhões em 28 de julho, poucos dias antes de a Reuters relatar o incidente.

Universidade da Califórnia em São Francisco (2020)

Em 3 de junho de 2020, a Universidade da Califórnia em San Francisco divulgou que os sistemas de TI da Escola de Medicina da UCSF foram comprometidos por um coletivo de hackers chamado Netwalker em 1º de junho. A instituição de pesquisa médica estava trabalhando em uma cura para COVID.

Aparentemente, a Netwalker havia pesquisado o UCFS, na esperança de obter insights sobre suas finanças. Citando os bilhões de dólares dos relatórios da UCFS em receita anual, a Netwalker exigiu um pagamento de resgate de $ 3 milhões. Após negociações, a UCSF pagou à Netwalker o bitcoin equivalente a US $ 1.140.895 para resolver o ataque cibernético. De acordo com a BBC, a Netwalker também foi identificada como a culpada em pelo menos dois outros ataques de ransomware em 2020 visando universidades.

Travelex (2019)

Na véspera de Ano Novo de 2019, a Travelex, uma empresa de câmbio de moeda estrangeira sediada em Londres, foi infiltrada por um grupo de ransomware chamado Sodinokibi (também conhecido como REvil). Os invasores roubaram 5 GB de dados de clientes, incluindo datas de nascimento, informações de cartão de crédito e detalhes de seguros. A Travelex desativou seu site em 30 países na tentativa de conter o vírus.

Na esteira do ataque de ransomware, a Travelex teve dificuldades com o atendimento ao cliente. Sodinokibi inicialmente exigiu um pagamento de $ 6 milhões (£ 4,6 milhões). Após negociações, a Travelex pagou aos cibercriminosos  US $ 2,3 milhões (285 BTC na época, cerca de £ 1,6 milhão) para obter seus dados de volta.

WannaCry (2017)

Em maio de 2017, um ransomware chamado WannaCry infectou computadores em todo o mundo, explorando uma vulnerabilidade em PCs com Windows. A vulnerabilidade WannaCry foi revelada durante um vazamento massivo de documentos da NSA e ferramentas de hacking projetadas por um grupo chamado Shadow Brokers em abril de 2017 .

Embora o número exato de vítimas do WannaCry permaneça desconhecido,  mais de 200.000 computadores em todo o mundo foram infectados. As vítimas incluem a empresa espanhola de telecomunicações Telefónica e milhares de hospitais no Reino Unido. Os sistemas de computador em 150 países foram afetados pelo ataque, com uma perda total estimada em cerca de US $ 4 bilhões em todo o mundo.

Os invasores inicialmente exigiram US $ 300 em bitcoin para desbloquear sistemas de computador infectados. A demanda foi posteriormente aumentada para $ 600 em bitcoin. No entanto, alguns pesquisadores afirmam que ninguém teve seus dados de volta, mesmo que atendessem às demandas.

Os ataques WannaCry continuam até hoje. Em fevereiro de 2021, o DOJ indiciou  três programadores de computador norte-coreanos por seu suposto papel no surto de WannaCry.

Locky (2016)

Descoberto em fevereiro de 2016, o Locky se destaca pelo número incrivelmente alto de tentativas de infecção feitas em redes de computadores. Os ataques normalmente vêm na forma de um e-mail com uma fatura anexada de alguém que afirma ser um funcionário da empresa. Em 16 de fevereiro de 2016, uma análise da Check Point identificou mais de 50.000 ataques de Locky em um dia.

Locky tem muitas variantes , mas o objetivo é basicamente o mesmo: bloquear arquivos de computador para convencer os proprietários a pagar um resgate em criptomoeda em troca de uma ferramenta de descriptografia, que permitiria aos usuários recuperar o acesso aos arquivos bloqueados. A maioria das vítimas de Locky esteve nos Estados Unidos, especialmente entre as empresas de saúde , mas o Canadá e a França também tiveram taxas de infecção significativas.

TeslaCrypt (2015)

Modelado em  um programa anterior chamado CryptoLocker, as primeiras amostras do TeslaCrypt foram distribuídas em novembro de 2014, mas o ransomware não foi amplamente distribuído até março do ano seguinte.

O TeslaCrypt inicialmente tinha como alvo os jogadores. Depois de infectar um computador, um pop-up direcionaria o usuário a pagar um resgate de $ 500 em bitcoin por uma chave de descriptografia para desbloquear o sistema infectado. Outras fontes relatam que os resgates solicitados variam de US $ 250 a US $ 1000 em Bitcoin. Em maio de 2016, os desenvolvedores do TeslaCrypt lançaram uma chave mestra de descriptografia para os usuários afetados desbloquearem seus computadores.

CryptoWall (2014)

Relatórios generalizados de sistemas de computador infectados com o ransomware CryptoWall surgiram em 2014. Os computadores infectados não conseguiam acessar os arquivos – a menos que o proprietário pagasse pelo acesso a um programa de descriptografia. CryptoWall impactou sistemas em todo o mundo. Os invasores exigiram pagamento na forma de cartões pré-pagos ou bitcoin. O CryptoWall causou cerca de US $ 18 milhões em danos, de acordo com a Help Net Security . Várias versões do CryptoWall foram lançadas, com cada versão tornando o ransomware mais difícil de rastrear e combater.

CryptoLocker (2013)

A primeira vez que grande parte do mundo ouviu o termo “ransomware” foi durante o surto do CryptoLocker em 2013 . Descoberto no início de setembro de 2013, o CryptoLocker paralisaria mais de 250.000 sistemas de computador durante os quatro meses seguintes. As vítimas foram instruídas a enviar pagamentos em criptomoedas ou cartões de dinheiro para recuperar o acesso. O ransomware entregou pelo menos US $ 3 milhões  a seus perpetradores.

Um esforço multinacional de aplicação da lei em 2014 conseguiu derrubar o botnet Gameover ZeuS, que era um método de distribuição principal do CryptoLocker. O DOJ indiciou o hacker russo Evgeniy Mikhailovich Bogachev como o líder do botnet. Bogachev ainda está foragido – e o FBI oferece atualmente  uma recompensa de até US $ 3 milhões por informações que levem à sua prisão e / ou condenação.

AIDS Trojan / PC Cyborg (1989)

Amplamente considerado o modelo para todos os ataques subsequentes, o Trojan da AIDS (também conhecido como PC Cyborg) é a  primeira instância conhecida de um ataque de ransomware. Em 1989, mais de uma década antes da criação do bitcoin, um biólogo chamado Joseph Popp distribuiu 20.000 disquetes na conferência da Organização Mundial da Saúde sobre AIDS em Estocolmo. Os disquetes foram rotulados como “Informações sobre AIDS – Disquetes introdutórios” e continham um vírus trojan que se instalou em sistemas MS-DOS.

Assim que o vírus estava em um computador, ele contava as vezes que o computador inicializava. Depois que o computador inicializou 90 vezes, o vírus ocultou todos os diretórios e nomes de arquivos criptografados. Uma imagem na tela da ‘PC Cyborg Corporation’ direcionou os usuários a enviar $ 189 pelo correio para um endereço de PO no Panamá. O processo de descriptografia era relativamente simples, no entanto, e os pesquisadores de segurança lançaram uma ferramenta gratuita para ajudar as vítimas.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *