Especialista brasileiro da Kaspersky explica-nos como é que um ataque como o da Fundação Champalimaud acontece os enormes riscos associados e porque nunca se deve pagar o resgate.
O “ataque informático sem precedentes” de hackers à Fundação Champalimaud que aconteceu na semana passada durou 48 horas e tudo foi resolvido, aparentemente, sem consequências graves para instituição médica, científica e tecnológica. Não foi pago o resgate pedido pelos hackers (não se sabe o valor) e, com ajuda técnica da Altice Portugal, o ataque foi travado a tempo, indicava na altura a instituição.
Um investigador especialista nestas questões de segurança informática da Kaspersky garante-nos que “a Fundação Champalimaud teve uma boa decisão”: “jamais se deve pagar o resgate a hackers porque abre a porta a novos ataques.”
Chama-se Fabio Assolini, é um brasileiro investigador sénior de segurança da empresa de software antivírus e de segurança na internet, Kaspersky, para onde trabalha há 10 anos e, embora esteja sediado no Brasil, é peça importante para a organização multinacional. Tem ainda experiência variada que também inclui trabalho com ONGs como analista de malware. Assolini explicou-nos que “este tipo de invasores estão bem preparados”, “exploram as vulnerabilidades que possam existir e não perdem oportunidade de causar o maior dano possível”.
Este tipo de ataques de ransomware (um software nocivo que restringe o acesso ao sistema infectado com uma espécie de bloqueio e onde se tenta cobrar um resgate em criptomoedas para que o acesso possa ser restabelecido), é algo que se tem visto “em todo o mundo”.
Recentemente, “uma grande universidade no Brasil também foi afetada e ficou sem acesso ao seu sistema durante dois dias”. A Fundação Champalimaud assegurou, em comunicado, “que os mecanismos de mitigação e proteção existentes para situações como a detetada permitiram evitar qualquer violação dos dados pessoais dos doentes”.
Assolini explica que nem sempre é fácil perceber o impacto do ataque. Certo só que “jamais se deve pagar o resgate” e, para o mostrar, deu um exemplo: “houve duas cidades na Flórida, nos EUA, que pagaram os resgate, uma delas pagou mais de 600 mil dólares em bitcoin, o problema é que dessa forma eles podem atacar uma segunda vez e pedir novo resgate, é um ciclo vicioso”.
Leia também | Outlook.com. Hackers com acesso ao conteúdo de emails durante ataque informático
Menos ataques a pessoas, mais ataques a empresas
Fabio Assolini avança que nos últimos dois anos até se tem verificado uma diminuição em 30% dos ataques de ransomware a nível mundial. Porquê? “Os cibercriminosos encontraram outras formas melhores de ganhar dinheiro, porque antes estes ataques afetavam mais o utilizador doméstico, mas nunca se sabia bem se a vítima teria dinheiro para pagar o resgate”. Ou seja, os atacantes têm-se focado mais “na mineração de criptomoedas em servidores infectados para conseguir dinheiro”.
Nas grandes empresas há informáticos que tentam atrapalhar os ataques e dar resposta imediata quando eles acontecem, daí que “os cibercriminosos estejam a adoptar outras técnicas de ataque mais sofisticadas para conseguirem dominar o sistema”.
Como funcionam os ataques?
O foco dos cibercriminosos é “atacar servidores”. Seja num hospital ou numa grande empresa, todos os computadores estão em rede e, para isso, existem servidores grandes e caros responsáveis por manter o sistema complexo a funcionar. “Para tornar o ataque bem sucedido, os atacantes focam-se nesses servidores”, explica Assolini.
O acesso, por norma, consegue-se com um trabalho minucioso, “explorando vulnerabilidades de software que costumam existir neste ambiente corporativo”. Ainda recentemente foi descoberta uma vulnerabilidade no Windows de 2018. “Caso o invasor encontre um servidor vulnerável ou desatualizado, muitas vezes sem os upgrades de segurança, é por aí que ele começa o ataque”.
Para o conseguir, por norma, o atacante precisa de mais ajuda, “o que costuma acontecer sob a forma de acessos remotos”. Para uma grande empresa com vários servidores diferentes costuma compensar ter acessos remotos a esses servidores, “para que um responsável técnico tenha acesso a eles sem ter de ir ao próprio servidor que costuma estar em salas mais isoladas”.
Nesse contexto, os informáticos têm acesso remoto para fazer a manutenção necessária e “essa é uma das formas que o atacante tenta explorar procurando as tais vulnerabilidades”. Quando consegue entrar pelo acesso remoto, “faz o levantamento dos softwares usados no servidor e tentar instalar por lá o chamado ransomware para ter acesso”.
E como é que o ransomware se dissemina pela rede? Fabio Assolini explica que como um servidor costuma ter acesso aos outros, “o criminoso usa essa conetividade em rede para espalhar a praga por todos os servidores e computadores na rede, ganhando acesso a eles”.
Como se deve proteger
Existem algumas boas práticas que ajudam a proteger pessoas e, especialmente, empresas. Seguem-se os conselhos do especialista:
- Ter cópias de segurança e backup dos sistemas de toda a rede que permita à organização recuperar rapidamente de um ataque.
- Ter software atualizado para todos os sistemas, “o que diminui bastante a probabilidade de um ataque com sucesso”. “Num utilizador doméstico é fácil, mas nas empresas é mais difícil porque implica grandes custos.
- Cuidar dos acessos remotos. “Muitas empresas configuram incorretamente esses acessos, na tentativa de facilitar o trabalho dos funcionários informáticos”. Assolini explica que se usa o método mais fácil, mas que por norma é o menos seguro, o que constitui “um erro crasso”. O acesso remoto Remote Desktop Protocol (RDP) “não pode estar exposto à internet, como resposta pode-se usar uma firewall”.
Nas soluções, o especialista recomenda software que seja de referência mas que aglomere num só espaço um sistema para tudo. Para terminar, Assolini avança que “o diabo mora nos detalhes e é aquele pequeno pormenor esquecido pelos informáticos que será usado pelos atacantes”.
O mundo tem um problema de segurança informática. Portugal tem a solução