Os ataques de resgate no sector público têm-se tornado cada vez mais comuns nos últimos anos, sendo alvo frequente de agências governamentais, organizações de saúde e instituições educativas. Contudo, o sector público tem sido sempre um alvo de cibercriminosos com intenção de roubo de dados e danos criminosos. Isto é verificado pela Verizon no seu Data Breach Investigations Report 2020 (DBIR), sendo a administração pública uma das indústrias mais visadas, e os resgates são o tipo de ataque mais prevalecente. Um relatório da Darktrace concorda, afirmando que em 2020 "os governos locais foram o maior alvo de ataques de resgate".
O Ransomware é um tipo de malware perigoso e insidioso que se está a tornar mais prevalecente em todas as indústrias. Os actores nefastos por detrás do malware estão também a tornar-se mais hábeis em extrair um resgate, não só encriptando dados, mas também roubando-os. Aqui, analisamos o impacto que os resgates estão a ter no sector público e o que pode ser feito para mitigar esse impacto.
Porque é que o Sector Público está em Risco de Ataques de Ransomware
Pode ser difícil obter informações sobre a verdadeira extensão dos ataques cibernéticos nos gabinetes públicos. No entanto, em 2019, o fornecedor de segurança, SolarWinds, realizou um pedido de Liberdade de Informação. Os dados devolvidos tinham alguns conhecimentos interessantes: enquanto cerca de um terço dos inquiridos não tinha sofrido ataques cibernéticos, um número crescente experimentou mais de 1000 ataques direccionados.
A maior parte destes ataques eram sob a forma de phishing e malware. Isto apesar de terem sido adoptadas as tradicionais medidas de cibersegurança, como firewalls e software antivírus. A investigação mostra claramente que o sector público está no radar dos cibercriminosos, e o resgate, sendo actualmente um malware favorito, é uma séria ameaça para o sector.
Os recentes ataques de alto nível, tais como o ataque de resgate à empresa de serviços públicos, Colonial Pipeline nos EUA, demonstram o comprimento a que os gangs de resgate vão. Neste ataque cibernético, os dados não só se tornaram inacessíveis através da encriptação, perturbando assim as operações, como também foram roubados e utilizados como alavanca para aumentar a pressão para pagar o resgate.
Um relatório da IBM X-Force descobriu que 59% dos incidentes de resgate envolveram a exfiltração de dados antes da ocorrência do evento de encriptação. O gasoduto colonial era um bom alvo para o resgate, uma vez que desempenha um papel crítico de infra-estrutura. Do mesmo modo, as indústrias de serviços públicos são uma infra-estrutura crítica, fornecendo importantes serviços aos cidadãos que dependem de dados: este ponto não se perde em gangues de resgate.
Serviços públicos tais como distritos escolares, instituições de saúde, e mesmo conselhos locais são todos alvos de atacantes de resgates. Um ataque recente envolveu o sistema de saúde da Irlanda. O ataque, suspeito de ser levado a cabo por um bando de hackers conhecido como Wizard Spider, deixou os hospitais sem computadores durante mais de uma semana.
De forma semelhante ao ataque ao oleoduto colonial, os hackers codificaram dados e roubaram grandes quantidades de informação para aumentar a pressão para pagar o resgate de 20 milhões de dólares (14 milhões de libras esterlinas). Em 2020, um ataque de resgate que afectou o conselho de Redcar e Cleveland acabou por custar ao conselho cerca de £10 milhões: os custos incorridos incluíram tempo de paragem e reduções nas receitas de execução.
Ransomware-as-a-Service in the Public Sector
O sector público abrange uma vasta gama de tipos de organizações, desde os cuidados de saúde aos conselhos locais, passando pelos decisores políticos e escolas. O sector público, portanto, oferece aos actores da ameaça uma variedade de oportunidades, não só para perturbar e extorquir, mas também para roubar dados.
Lindy Cameron, CEO do National Cyber Security Centre (NCSC) do Reino Unido, disse recentemente, num discurso na Palestra Anual de Segurança do Royal United Services Institute (RUSI), que o aumento do resgate de software se devia a um "efeito cumulativo", uma vez que as organizações não conseguiram lidar com a sofisticação sempre crescente dos ataques de resgate de software.
As organizações do sector público estão em risco devido à utilização destes ataques mais sofisticados que incluem "Ransomware-as-a-Service (RaaS)". Estes 'kits' de resgate tornam a criação de campanhas de resgate muito mais fácil. Qualquer pessoa que queira participar na acção de resgate pode fazê-lo pelo preço de uma taxa mensal e de uma redução do resgate.
No seu discurso, Cameron observa que RaaS está a alimentar o aumento de ataques de resgate. Destes kits de RaaS, alguns são especialmente concebidos para atingir o governo e o sector público. Um exemplo é Eking RaaS, identificado por Darktrace como sendo utilizado para visar os serviços governamentais na região da APAC.
Como proteger o sector público de ataques de resgate
O DBIR assinala que em 85% dos casos de violação de dados está envolvido um ser humano. O factor humano é evidente em muitos tipos de ataques cibernéticos, incluindo os resgates; um clique errante num e-mail malicioso é muitas vezes o início do pesadelo do resgate.
Como os atacantes de resgates se concentram no roubo de dados bem como na encriptação, o "ser humano na máquina" torna-se cada vez mais importante como uma forma de entrar numa organização. O phishing é um vector de ataque preferido dos hackers porque funciona. No último DBIR de 2021, a Verizon assinala que o phishing e o resgate de dados voltaram a prevalecer; em termos de ataques da administração pública, a engenharia social é a vertical preferida utilizada em 69% das violações.
A entrega de resgates e a infecção entram por várias rotas, mas como mencionado, o phishing é um dos mais comuns. Um inquérito utilizando dados de serviços geridos descobriu que 54% dos ataques de resgate começaram com um e-mail de phishing: más práticas de utilização (27%) e falta de formação em segurança (26%) foram as próximas questões mais comuns que levaram à infecção por um serviço de resgate.
Prevenção de Ataques de Resgate no Sector Público
A prevenção de resgates no sector público tem a ver com a redução do risco. O risco de segurança é reduzido utilizando uma abordagem sócio-técnica; muito da mesma forma que os hackers atacam o sector público e outras indústrias utilizando engenharia social e vulnerabilidades técnicas.
O alívio dos vectores centrais da infecção por resgate começa dentro de uma cultura de segurança excepcional. Isto é impulsionado pela prestação de formação eficaz de sensibilização para a segurança a todo o pessoal. Isto é aumentado através da utilização das melhores ferramentas de segurança da raça que satisfazem os requisitos das normas e regulamentos de segurança, tais como a ISO27001.
Os ataques de resgate no sector público estão aqui para ficar até que as organizações deixem de ser infectadas e deixem de pagar o resgate. Em sectores dependentes de dados, tais como o público e o governo, este último pode ser uma escolha difícil de fazer. Isto significa que devem ser criadas estruturas para mitigar as hipóteses de uma infecção de resgate bem sucedida.