Decore este nome: Ransom Distributed Denial of Service (RDDoS), que em português significa algo como resgate por ataque distribuído de negação de serviço. Em bom rigor, o termo não é de agora – é possível encontrar referências a esta tipologia de ataque desde 2018. Mas já lá diz o ditado que a ocasião faz o ladrão – e a situação de pandemia, assim como o teletrabalho, têm contribuído para uma espécie de renascimento desta ameaça.
Tudo começa com um teste. “O grupo criminoso efetua um pequeno ataque de negação de serviço na infraestrutura do cliente. Isto foi algo já visto em Portugal”, revela Miguel Romão, gestor do centro de operações (SoC, na sigla em inglês) da empresa S21Sec, especializada em segurança informática.
Ao fazê-lo, os atacantes mostram que têm o potencial para desencadear um ataque que, na prática, inunda os servidores de uma empresa com tráfego não solicitado. Ao bombardearem a empresa com um grande volume de tráfego malicioso, o servidor não consegue dar resposta a tantos pedidos de acesso, fazendo com que o site ou o respetivo serviço acabem por ficar inoperacionais.
Mas os ataques de RRDoS são diferentes dos ataques DDoS mais convencionais, no sentido em que são direcionados para empresas que dependem muito da sua capacidade de estarem online e disponíveis para os clientes a qualquer momento – como uma loja de comércio eletrónico, por exemplo. Ou seja, é uma tipologia de ataque que explora o medo dos negócios ficarem offline, sabe-se lá durante quanto tempo e sabe-se lá com que consequências para a faturação e para a reputação da marca.
“Depois [do teste] enviam um e-mail a vários contactos da empresa a pedir o pagamento de uma quantia exorbitante e a dizerem que o ataque de negação de serviço vai ser executado em sete dias. É uma nova forma de abordagem, conjuntamente com o pedido de resgate para que não seja executado”, adianta o elemento da S21Sec, em entrevista à Exame Informática.
Segundo o especialista, estão a ser pedidos resgates, em média, de quatro milhões de dólares, cerca de 3,4 milhões de euros ao câmbio atual. Miguel Romão não tem conhecimento de empresas que já tenham pago, efetivamente, o resgate, mas pede aos responsáveis e funcionários das empresas para que fiquem alerta.
“Há sempre métodos para contornar as proteções [de ataques DDoS]. E existe outra componente: a necessidade de termos uma monitorização. Eles dizem que o ataque vem do exterior, mas não sabemos se já estão no interior. Temos necessidade de ter a infraestrutura da empresa monitorizada”, explica.
Dizem as estatísticas que 36% das empresas que já sofreram um ataque de malware que pede resgates (ransomware) vão pagar o pedido feito pelos piratas informáticos. E que deste grupo, 17% nunca vão recuperar os dados. Valores, de uma tipologia de ataque diferente, é certo, mas que levam Miguel Romão e a S21Sec a recomendarem o não pagamento de qualquer pedido de resgate. “Não há garantias que a empresa seja vítima de um ataque se não pagar o resgate ou que o resgate já pago vá ter a recompensa que eles [cibercriminosos] prometem”.
Cibercrime em crescimento
Os dados da S21Sec mostram que os ataques de phishing aumentaram, a nível global, 350% durante o período de pandemia e que houve também um “aumento da descarga massiva de ficheiros com malware”. Já do lado dos piratas informáticos, há quem esteja exclusivamente dedicado ao roubo de credenciais de funcionários de empresas para depois vendê-las em ‘mercados negros’ e outros que só vendem ferramentas que ajudam a automatizar ataques informáticos.
“Mais cedo ou mais tarde as empresas vão ser vítimas de um ciberataque. É um alerta que damos, que é… a realidade. As empresas estão expostas, têm serviços online e mais cedo ou mais tarde vão ser vítimas de um ataque. O que necessitam? Ter alguns conceitos em mente, estarem preparados e precaverem-se para essas situações. (…) Muitas das corporações neste momento pecam por não terem uma resposta a incidentes definida”.
Além disso, com o teletrabalho foram muitos os que não acautelaram as devidas proteções. Miguel Romão dá um exemplo comum: empresas que não tinham equipamentos suficientes para todos os funcionários, funcionários esses que acabaram por trabalhar com dispositivos pessoais. Alguns desses equipamentos já estavam comprometidos, ou seja, já tinham software malicioso instalado. E assim que esse dispositivo faz uma ligação ao sistema da empresa, abre-se uma janela de oportunidade para os cibercriminosos.
“Surgiram exemplos durante a pandemia nos quais a origem do ataque com roubo de credenciais foi em dispositivos pessoais”, sublinha o elemento da S21Sec.
Além de terem um plano de resposta a incidentes de cibersegurança, Miguel Romão aconselha ainda que as empresas treinem esse plano e garantam sempre que há pessoas e ferramentas disponíveis para colocá-lo em prática, caso seja necessário. E, diz, a falta de tempo não pode ser uma desculpa, por uma razão simples: “Os atacantes têm muito tempo disponível”.