Nos últimos anos, os ataques do tipo "ransomware", que sequestram dados das máquinas de empresas e governos, se tornaram uma das principais ferramentas de extorsão de criminosos digitais. Agora, é possível ter uma ideia do tamanho do estrago causado pelos principais grupos do tipo.
Segundo um relatório da empresa de segurança Syhunt, obtido com exclusividade pelo Estadão, foram roubados entre 2019 e 2022 150 TB de dados de empresas, governos e organizações. No total, a empresa identificou 2.843 vítimas em todo o mundo - isso inclui empresas, governos e outras instituições.
O Brasil aparece em oitavo lugar no ranking de países atacados, com 36 vítimas - os EUA são o principal alvo, com mais de 700 vítimas. Segundo Felipe Daragon, fundador da Syhunt, o volume de dados pode ser ainda maior. "Essas informações foram postadas na dark web (parte da internet que não é anexada e exige conexão especial), como se fosse uma vitrine daquilo que foi conquistado. É possível que mais informações estejam nas mãos dos criminosos", diz ele.
A "vitrine" é o mesmo tipo de estratégia usada por golpistas no megavazamento de dados, que expôs informações de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos no Brasil. Parte das informações foi postada publicamente para gerar o interesse de possíveis compradores.
Apesar de apontar para o fato de que informações roubadas via ransomware estejam circulando tanto na parte "visível" da web quanto na "não visível" (deep web e dark web), o relatório chama a atenção para uma mudança importante nas estratégias de divulgação dos criminosos. "Embora a dark web seja a camada preferida de grupos de ransomware para vazar informações, novos nomes, como o Lapsus$ Group, estão usando o Telegram para anunciar ataques e vazamentos", diz o relatório.
O documento faz referência ao grupo que supostamente atacou e desestabilizou os sistemas do Ministério da Saúde em dezembro - o Lapsus$ Group afirmou estar por trás do ataque, mas a origem não foi confirmada por autoridades.
Ataques do tipo ransomware são aqueles em que os criminosos sequestram dados da vítima, bloqueiam os sistemas e pedem resgate em dinheiro – o nome ransom, em inglês, significa o pagamento para libertar um refém. No ransomware, os criminosos geralmente usam programas maliciosos que, por meio de criptografia, bloqueiam o acesso das vítimas a seus arquivos. A infecção se dá principalmente por vulnerabilidades em programas desatualizados, uso de senhas fracas e arquivos maliciosos enviados por e-mail (que são acessados por funcionários ou membros da instituição alvo do ataque).
No total, a Syhunt identificou mais de grupos responsáveis por ataques ransomware, sendo o principal dele o REvil, desmantelado no começo do ano na Rússia - ao todo, o grupo havia postado 44,1 TB de dados em fóruns na internet. Ao menos cinco grupos tiveram vítimas no Brasil. No ano passado, nomes como Renner, JBS, Fleury e Protege foram alvos de ataques do tipo.
