Os cibercriminosos não discriminam indústrias ou setores na hora de realizar ataques de ransomware. Embora o setor privado geralmente seja um alvo comum para esse tipo de malware, o setor público também pode acabar sendo bastante interessante. De fato, em 2019 foram registrados ataques de ransomware contra órgãos governamentais em vários países ao redor do mundo, como Alemanha, Austrália, Canadá, Espanha, Estados Unidos ou África do Sul, entre outros.
Nos Estados Unidos, os ataques de ransomware ao setor público em 2019 aumentaram 65% em comparação com 2018, com um total de 140 ataques de diferentes famílias de ransomware (como Ryuk ou RobinHood) a órgãos governamentais estaduais e locais em Atlanta, Louisiana, Baltimore, Texas ou Flórida, entre outras partes do país. Algo semelhante aconteceu na Austrália, país no qual a tendência crescente desse tipo de ataques a órgãos governamentais ou autarquias tem gerado bastante preocupação ao longo do último ano, como foi o caso do ataque do ransomware Ryuk à autarquia local da cidade de Onkaparinga ou os ataques a vários hospitais na região de Victoria. Mas esses não foram os únicos dois países nos quais foram registrados ataques de ransomware contra orgãos governamentais. Na Espanha, por exemplo, a Câmara Municipal de Jerez de la Frontera também foi vítima do Ryuk, enquanto o Instituto Municipal de Emprego e Desenvolvimento Empresarial de Saragoça foi atingido pelo ransomware Sodinokibi.
Algumas das principais razões pelas quais órgãos governamentais se tornaram um alvo interessante para ataques de ransomware - falaremos sobre isso neste artigo - estão relacionadas a aspectos como a importância da continuidade do serviço que prestam e o impacto provocado por um ataque dessa natureza, bem como a sensibilidade dos dados e informações com que costumam trabalhar, a falta de investimento em segurança e em capacitação que muitas vezes existe no setor público em relação a essas questões.
Considerando que o objetivo por trás de um ataque de ransomware é financeiro, aspectos como a sensibilidade dos dados administrados ou os recursos financeiros de um alvo são elementos-chave a serem considerados de interesse. Outros aspectos que também podem ser considerados interessantes para os cibercriminosos são as possíveis vulnerabilidades que o ecossistema pode apresentar, a criticidade do serviço fornecidos ou as probabilidades de que os funcionários sejam mais ou menos capacitados para reconhecer ataques de phishing. Os órgãos governamentais atendem a muitas dessas características que os tornam um alvo bastante interessante.
Vale esclarecer que quando falamos em órgãos governamentais nos referimos a qualquer instituição ou entidade criada para uma função específica e que esteja a cargo da administração estadual. Portanto, um órgão governamental pode ser de um ministério ou entidade dependente dele, a força policial, uma prefeitura ou um hospital, embora nos últimos tempos os mais afetados pelos ataques de ransomware no setor público tenham sido os governos locais e os centros de saúde.
De acordo com a última edição do Data Breach Investigation Report (DBIR) 2020 produzido pela Verizon, um relatório no qual participaram profissionais de 81 países, “o ransomware é um grande problema para o setor governamental, com atacantes motivados por objetivos financeiros que usam o ransomware para atacar um amplo espectro de entidades governamentais”. De acordo com o relatório, 61% dos incidentes de segurança relacionados a malware que afetaram órgãos governamentais foram ocasionados por ransomware. Segundo o relatório, a ameaça geralmente é baixada por outro código malicioso que compromete o computador da vítima em uma primeira instância ou é instalada diretamente pelo atacante ao obter acesso ao sistema.
Apesar de consideramos que, de acordo com os últimos dados analisados (até 2019), o ransomware não é um tipo de ameaça que resulta em um vazamento de dados confidenciais, se tivermos em conta que neste ano (pelo menos até agora) a ameaça se consolidou como uma tendência que começou a se manifestar no final de 2019, que é a extorsão pelos operadores por trás de muitas famílias de ransomware que ameaçam suas vítimas com a divulgação de informações roubadas caso não seja pago o resgate para recuperar os arquivos - geralmente criptografados -, o cenário futuro dos ataques de ransomware a órgãos governamentais pode ter um novo capítulo. A isso devemos acrescentar que, desde 2018, os ataques de ransomware se tornaram mais direcionados e menos massivos, o que também mostra que os cibercriminosos escolhem seus alvos de forma mais estratégica.
No entanto, os motivos que tornam os órgãos governamentais um alvo de interesse para os cibercriminosos são:
1. Urgência para manter a continuidade
Tendo em conta que os órgãos governamentais são geralmente entidades vinculadas a um serviço (em alguns casos essencial) que é prestado à comunidade em geral, a impossibilidade de realizar suas operações normalmente pode ter um impacto maior ou menor nas atividades realizadas por parte da população ou em seu modo de vida. Portanto, muitas vezes, os órgãos governamentais estão sob pressão para resolver o incidente o mais rápido possível afim de garantir a disponibilidade do serviço. Isso oferece certas vantagens aos cibercriminosos na hora de negociar um pagamento de resgate.
2. Volume e sensibilidade dos dados
Os órgãos governamentais geralmente lidam com grandes volumes de dados e informações pessoais relacionadas às atividades realizadas pelos cidadãos. De acordo com o relatório da Verizon, 51% dos dados comprometidos em um vazamento de dados que afetou o setor público correspondem a informações pessoais.
3. Falta de investimento e treinamento
As limitações econômicas dessas instituições, que costumam funcionar com recursos obtidos através de orçamentos públicos, fazem com que não seja possível investir o que deveriam em segurança cibernética. Isso se traduz na impossibilidade de trabalhar com os profissionais necessários - especialmente os departamentos com menos pessoal -, administrando adequadamente a segurança dos recursos tecnológicos que utilizam, ou investindo em treinamento.
Segundo um relatório produzido pela Deloitte sobre ataques de ransomware a órgãos governamentais, levando em consideração que o fator humano é fundamental e que apenas um clique indevido é suficiente para que toda uma rede seja comprometida, o treinamento dos funcionários quanto às boas práticas de segurança no uso da tecnologia é essencial. No entanto, os programas de treinamento custam tempo e dinheiro, e para essas organizações com orçamento limitado, isso geralmente é impossível de fazer. Como se não bastasse, a escassez de profissionais nessa área dificulta a atração e retenção de talentos para esse setor. De acordo com uma pesquisa de segurança cibernética realizada pela Deloitte, desde 2010 a falta de orçamento tem sido a preocupação número um dos CISOs.
4. Vulnerabilidades
Vinculado ao ponto anterior, além da escassez de recursos, os processos de transformação digital a que muitos serviços e órgãos governamentais foram submetidos nem sempre foram acompanhados pela perspectiva da segurança. Isso faz com que não existam políticas para gerenciar corretamente a segurança da tecnologia, como políticas de uso de software, planos de treinamento, entre outros. Portanto, o uso de softwares e/ou sistemas operacionais obsoletos nos dispositivos usados em muitas dessas entidades também representa um risco de segurança, pois isso significa que sua infraestrutura está exposta a um maior número de ataques possíveis, convertendo esses órgãos em alvos facilmente vulneráveis.
Veja também: 5 ações de segurança que são fundamentais para a produtividade de uma empresa
5. O Estado como fonte de dinheiro
Embora, como já destacamos, os órgãos governamentais geralmente trabalhem com um orçamento definido, o que muitas vezes os leva a não considerarem a segurança como uma de suas prioridades, o aumento na contratação de seguros contra um possível ataque digital tem representado um papel importante, garante o relatório elaborado pela Deloitte. “Para muitos órgãos governamentais, transferir o risco para uma seguradora pode ser uma estratégia economicamente mais eficaz, além do fato de o mercado ter mostrado que é um negócio atraente para as seguradoras”, explica.
Muitas entidades usaram a apólice de seguro para contornar o incidente, seja por meio da restauração de seus sistemas ou caso decidam pagar o resgate. Portanto, e principalmente considerando que muitas dessas entidades não possuem planos de recuperação de ataques de ransomware, diversos órgãos governamentais decidem pagar aos cibercriminosos, considerando que o custo econômico é menor do que o de restaurar o serviço para sua conta. É o caso da câmara municipal de Riviera Beach e da municipalidade de Lake City, ambas na Flórida, embora algumas iniciativas em alguns estados dos Estados Unidos considerem proibir as municipalidades de pagar aos cibercriminosos.
6. Superfície de ataque
Considerando a necessidade de fornecer serviços por meio dos meios digitais, os governos consideraram necessário aumentar o número de computadores. Cada um desses computadores é um potencial ponto de acesso para um ataque de malware, o que tem causado um aumento na superfície de ataque e muitas vezes sem os recursos necessários em termos de segurança cibernética para proteger adequadamente todos os dispositivos. A realidade também indica que não estamos falando apenas de computadores, mas de câmeras em vias públicas conectadas a redes de um órgão governamental local, bem como de muitos outros dispositivos IoT usados para diversos fins - todos esses dispositivos podem ser vulneráveis a um possível ataque caso não sejam tomadas todas as medidas de manutenção necessárias.
Pagar ou não pagar
Embora esse seja o dilema, recomendamos que o resgate não seja pago, especialmente porque não há garantias de que os cibercriminosos permitirão que os arquivos sejam recuperados após o pagamento. De acordo com uma pesquisa com 1.200 profissionais de segurança citados no estudo da Deloitte, menos da metade das vítimas de um ataque de ransomware que decidiram pagar recuperaram o acesso aos seus dados.
Além disso, é importante ter em conta que a decisão de pagar implica alimentar a indústria do cibercrime, que muitas vezes considera o custo que representa para a vítima se recuperar de um ataque e, a partir disso, define o valor do resgate. Por exemplo, a recuperação do ataque de ransomware que atingiu a cidade de Baltimore custou pelo menos US$ 18,2 milhões, enquanto os atacantes cobravam US$ 76.000 pelo resgate dos arquivos.
Sem dúvida, a melhor decisão é prevenir e tomar medidas para minimizar os riscos, reforçando a segurança do ambiente, embora, claro, tudo isso requeira investimento.
Para obter mais informações, leia o nosso guia sobre ransomware - um documento que explica tudo sobre esse tipo de código malicioso.
Veja também: Por que os hospitais são um alvo tão atrativo para os cibercriminosos?