Entenda o que é ransomware e por que ele pode ser tão grave no caso do STJ

As autoridades ainda investigam, mas o ataque ao sistema do STJ (Superior Tribunal de Justiça) tem todas as características de ser um ransomware, que sequestra o acesso aos dados do sistema criptografando-os. Geralmente o hacker promete liberar o acesso após pagamento de um resgate.

Este pode ser um dos incidentes de segurança mais graves envolvendo o setor público no Brasil, segundo Carlos Affonso de Souza, professor da faculdade de Direito da UERJ (Universidade do Estado do Rio de Janeiro), especialista em direito digital e colunista de Tilt. Segundo ele, ao passar a ideia de que se o STJ, um dos primeiros tribunais a digitalizar suas atividades e oferecer funcionalidades na internet, está exposto, outras instâncias da Justiça brasileira viram potenciais alvos, inclusive o STF (Supremo Tribunal Federal).

Relacionadas

Câmara recebe proposta para criar lei sobre dados de segurança pública

STJ confirma que hacker criptografou dados, mas processos têm backup

Receba notícias de Tilt em seu WhatsApp

Ministério da Saúde e o governo do Distrito Federal tiram seus sistemas atacados no mesmo dia, mas ainda não se sabe se foi do tipo ransonware. O STF e o Tribunal Superior Eleitoral (TSE) informaram que reforçaram seus sistemas internos de segurança da informação.

Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), diz que "as chances de recuperar dados encriptados neste tipo de ataque é próxima do zero". Na maioria dos casos, mesmo pagando para ter de volta o acesso, empresas e entidades nunca mais conseguem recuperar os dados. Algo do tipo poderia impactar o Judiciário de forma inédita, pondo a perder milhares de ações judiciais e julgamentos —sem falar numa possível quebra de sigilo e vazamento de dados muito sensíveis.

Outra questão é sobre a proteção de dados compartilhados entre empresas, entidades e governos. Para Souza, discutir o problema passa "necessariamente por uma reflexão sobre confiança e pelo reconhecimento de que dados pessoais não devem ser trocados entre órgãos governamentais de maneira descompromissada", diz.

Em 2017, dois grandes ataques hackers causados por ransomware mostraram o tamanho do estrago que pode resultar esse tipo de violação a órgãos públicos. Naquele ano, um ransomware chamado de WannaCry se espalhou rapidamente e sequestrou sistemas em diversos países, afetando consumidores, empresas, hospitais e até departamentos governamentais. De acordo com a Europol (agência policial da União Europeia), ao menos 200 mil vítimas foram afetadas em 150 países. Um desses sistemas foi o NHS (o SUS dos britânicos), que paralisou o sistema que administra pacientes do país todo e impediu dezenas de hospitais de funcionar.

Como o ransomware age no sistema?

Este ataque permite que os cibercriminosos acessem remotamente o computador da vítima e criptografem os seus arquivos —isto é, coloquem uma camada de proteção que embaralha os dados. Quando você tenta acessar uma pasta do computador, costuma aparecer uma mensagem dizendo que ela foi "sequestrada" e só será devolvida após pagamento de resgate.

Há também ransomwares que criptografam todo o disco rígido da vítima. Neste caso, a mensagem aparece quando se liga o computador, antes do sistema operacional entrar em funcionamento.

Eles ameaçam só devolver o acesso aos dados após o pagamento, normalmente feito em bitcoins. O pagamento em criptomoedas torna quase impossível identificar quem foi responsável pelo ataque. Especialistas orientam a nunca pagar pelo resgate.

De acordo com dados do Kaspersky Lab, os alvos principais são as redes corporativas (26,2%), mas pequenos golpes viram uma coisa corriqueira entre os comerciantes e prestadores de serviços, como restaurantes.

Cerca de metade das empresas brasileiras já sofreu algum tipo de ataque do tipo e 65% dos negócios atingidos perderam acesso a todos ou quase todos seus arquivos. Pior, uma em cada seis empresas que pagou pelo resgate nunca recuperou seus dados, mostra pesquisa da Trend Micro, que ouviu cerca de 300 empresas no Brasil e mais de 200 em outros países latino-americanos.

E aqui está um dos motivos para que o ataque tenha se popularizado: ele é fácil de acontecer, deixa a vítima refém, porque há bem pouco a fazer contra ele, e o retorno financeiro para o criminoso é rápido. "A facilidade para pagamento do resgate em bitcoins (moeda digital) traz um retorno financeiro para o atacante muito mais rápido do que outras modalidades de crime", explica Franzvitor Fiorim, especialista da Trend Micro.

A pesquisa também constatou que as empresas confiam muito nos dados de backup nos servidores e desktops (80% dos entrevistados) como a principal defesa contra ransomwares.

Como o ataque começa?

Existem principalmente dois jeitos: clicar em links maliciosos ou simplesmente navegar pela internet. Isso mesmo: há ransomwares que estão por aí distribuídos pela web só esperando que o seu computador esteja vulnerável. Neste caso, a única possibilidade de evitar o problema é utilizar antivírus que monitoram a navegação.

Os celulares não estão a salvo de serem atacados dessa forma. Aqui, a infecção também pode ocorrer ao se clicar em links maliciosos ou ao baixar versões gratuitas de programas que, geralmente, fingem ser apps pagos das lojas oficiais.

Tem "cura" para ransomware

A solução em muitos casos pode depender do sistema manter um sistema que faz backups constantes dos dados. Assim, os arquivos atingidos pela criptografia podem ser apagados, e os backups os substituem.

O STJ já disse que o ataque não atingiu a cópia de segurança (backup) dos arquivos, preservando os processos bloqueados. A equipe de tecnologia do STJ trabalha para recuperar o conteúdo que foi alvo do ransomware.

No caso de celulares, existem ferramentas de remoção do ransomware disponíveis no mercado, mas em alguns casos a saída vai ser formatar o celular. Por isso, é de extrema importância manter backups de arquivos sempre atualizados também nos smartphones.