Os ataques de ransomware no sector público tornaram-se cada vez mais comuns nos últimos anos, com as agências governamentais, as organizações de cuidados de saúde e as instituições de ensino a serem alvos frequentes. No entanto, o sector público sempre foi um alvo para os cibercriminosos que pretendem roubar dados e causar danos criminais. Este facto é verificado pela Verizon no seu Data Breach Investigations Report 2020 (DBIR), sendo a administração pública um dos sectores mais visados e o ransomware o tipo de ataque mais prevalente. Um relatório da Darktrace concorda, afirmando que em 2020 “os governos locais foram o maior alvo de ataques de ransomware”.

O ransomware é um tipo de malware perigoso e insidioso que está a tornar-se mais prevalente em todos os sectores. Os agentes nefastos por detrás do malware estão também a tornar-se mais hábeis na extração de um resgate, não só encriptando dados, mas também roubando-os. Aqui, analisamos o impacto que o ransomware está a ter no sector público e o que pode ser feito para mitigar esse impacto.

Porque é que o sector público está em risco de ataques de ransomware

Pode ser difícil obter informações sobre a verdadeira dimensão dos ciberataques em gabinetes públicos. No entanto, em 2019, o fornecedor de segurança SolarWinds efectuou um pedido de liberdade de informação. Os dados devolvidos continham algumas informações interessantes: embora cerca de um terço dos inquiridos não tivesse sofrido qualquer ciberataque, um número crescente sofreu mais de 1000 ataques direcionados.

A maior parte destes ataques foram efectuados sob a forma de phishing e malware. Isto apesar de terem implementado medidas tradicionais de cibersegurança, como firewalls e software antivírus. A investigação mostra claramente que o sector público está no radar dos cibercriminosos e que o ransomware, sendo o malware preferido atualmente, constitui uma séria ameaça para o sector.

Ataques recentes de grande visibilidade, como o ataque de ransomware à empresa de serviços públicos Colonial Pipeline, nos EUA, demonstram até onde vão os grupos de ransomware. Neste ciberataque, os dados não só se tornaram inacessíveis através de encriptação, perturbando assim as operações, como também foram roubados e utilizados como alavanca para aumentar a pressão para o pagamento do resgate.

Um relatório da IBM X-Force concluiu que 59% dos incidentes de ransomware envolviam a exfiltração de dados antes da ocorrência do evento de encriptação. O Colonial Pipeline era um bom alvo para o ransomware, uma vez que desempenha um papel de infraestrutura crítica. Da mesma forma, as indústrias de serviços públicos são uma infraestrutura crítica, fornecendo importantes serviços aos cidadãos que dependem de dados: este ponto não é esquecido pelos grupos de ransomware.

Os serviços públicos, como os distritos escolares, as instituições de saúde e até as autarquias locais, são todos alvos dos atacantes de ransomware. Um ataque recente envolveu o sistema de saúde da Irlanda. O ataque, que se suspeita ter sido levado a cabo por um grupo de piratas informáticos conhecido como Wizard Spider, deixou os hospitais sem computadores durante mais de uma semana.

De forma semelhante ao ataque ao Colonial Pipeline, os hackers encriptaram dados e roubaram grandes quantidades de informação para aumentar a pressão para o pagamento do resgate de 20 milhões de dólares (14 milhões de libras). Em 2020, um ataque de ransomware que afectou o conselho de Redcar e Cleveland acabou por custar ao conselho cerca de 10 milhões de libras: os custos incorridos incluíram tempo de inatividade e reduções nas receitas de execução.

Ransomware-as-a-Service no sector público

O sector público abrange uma vasta gama de tipos de organizações, desde os cuidados de saúde aos conselhos locais, passando pelos decisores políticos e pelas escolas. Por conseguinte, o sector público oferece aos agentes de ameaças uma variedade de oportunidades, não só para perturbar e extorquir, mas também para roubar dados.

Lindy Cameron, diretora executiva do National Cyber Security Centre (NCSC) do Reino Unido, afirmou recentemente, num discurso proferido na Palestra Anual de Segurança do Royal United Services Institute (RUSI), que o aumento do ransomware se deveu a um “efeito cumulativo”, uma vez que as organizações não conseguiram lidar com a sofisticação cada vez maior dos ataques de ransomware.

As organizações do sector público estão em risco devido à utilização destes ataques mais sofisticados que incluem “Ransomware-as-a-Service (RaaS)”. Estes “kits” de ransomware tornam muito mais fácil a criação de campanhas de ransomware. Qualquer pessoa que queira entrar na onda do ransomware pode fazê-lo pelo preço de uma taxa mensal e uma parte do resgate.

No seu discurso, Cameron refere que o RaaS está a alimentar o aumento dos ataques de ransomware. Entre estes kits RaaS, alguns são especialmente concebidos para visar o governo e o sector público. Um exemplo é o Eking RaaS, identificado pela Darktrace como sendo utilizado para atacar serviços governamentais na região da APAC.

Como proteger o sector público de ataques de ransomware

O DBIR salienta que em 85% das violações de dados está envolvido um ser humano. O fator humano é evidente em muitos tipos de ciberataques, incluindo o ransomware; um clique errado num e-mail malicioso é muitas vezes o início do pesadelo do ransomware.

À medida que os atacantes de ransomware se concentram no roubo de dados e na encriptação, o “humano na máquina” torna-se cada vez mais importante como forma de entrar numa organização. O phishing é um dos vectores de ataque preferidos dos hackers porque funciona. No último DBIR para 2021, a Verizon salienta que o phishing e o ransomware voltaram a ser predominantes; em termos de ataques à administração pública, a engenharia social é a vertical preferida utilizada em 69% das violações.

A entrega e a infeção do ransomware ocorrem através de várias vias, mas, como mencionado, o phishing é uma das mais comuns. Um inquérito que utilizou dados de serviços geridos revelou que 54% dos ataques de ransomware começaram com um e-mail de phishing: as más práticas dos utilizadores (27%) e a falta de formação em segurança (26%) foram os problemas mais comuns que levaram à infeção por ransomware.

Prevenir ataques de ransomware no sector público

Prevenir o ransomware no sector público é reduzir o risco. O risco de segurança é reduzido utilizando uma abordagem sociotécnica; da mesma forma que os hackers atacam o sector público e outras indústrias utilizando engenharia social e vulnerabilidades técnicas.

A atenuação dos principais vectores de infeção por ransomware começa com uma cultura de segurança excecional. Esta é impulsionada por uma formação eficaz de sensibilização para a segurança para todo o pessoal. Isto é reforçado pela utilização das melhores ferramentas de segurança que cumprem os requisitos das normas e regulamentos de segurança, como a ISO27001.

Os ataques de ransomware no sector público vieram para ficar até que as organizações deixem de ser infectadas e deixem de pagar o resgate. Em sectores dependentes de dados, como o público e a administração pública, esta última pode ser uma escolha difícil de fazer. Isto significa que devem ser criadas estruturas para reduzir as hipóteses de uma infeção por ransomware bem sucedida.

Conscientização sobre segurança cibernética para leigos