Exame/PCS
A sexta-feira 9 de setembro ficou marcada na vida do empresário Leandro Lopes, dono de uma empresa com sede em São Paulo que presta serviços na área de tecnologia. Ao chegar pela manhã ao escritório na Avenida Paulista, Lopes teve uma surpresa quando ligou seu computador e abriu o programa de controle financeiro. Uma mensagem que ele nunca tinha visto pulou na tela dizendo que o banco de dados não havia sido reconhecido. “Um bug qualquer”, pensou Lopes.
O empresário, então, decidiu abrir a pasta onde ficam os arquivos originais. Foi aí que ele percebeu que os arquivos tinham sido convertidos para um formato desconhecido. Tentou abrir de novo e nada. Nesse ponto, o que era apenas tensão virou quase pânico.
Não eram apenas os dados financeiros que estavam corrompidos, mas todos os 5.000 documentos guardados no disco rígido, incluindo as planilhas, os bancos de dados dos clientes, as folhas de pagamentos e até as fotos e os vídeos promocionais da empresa. De uma hora para a outra, as informações mais essenciais para o funcionamento da empresa estavam inacessíveis. Um técnico foi chamado e foi aí que se descobriu o que estava acontecendo.
Um hacker havia invadido a rede naquela madrugada. O criminoso dizia que os arquivos tinham sido criptografados e que só seriam liberados se a empresa pagasse 1 000 dólares. Por sorte, Lopes tinha um backup e conseguiu recuperar boa parte dos documentos infectados. “Foi uma correria. Toda a equipe teve de trabalhar sexta, sábado e domingo para reinserir os dados manualmente antes de segunda-feira. Se não existisse a cópia de segurança, não haveria saída. Teria pago o resgate”, diz ele.
Um número crescente de empresários tem sido vítima desse tipo de sequestro digital. Muitos deles não têm a mesma sorte de Lopes e acabam pagando a criminosos para a empresa poder continuar operando. Entre 2014 e 2016, o número de ocorrências desse tipo de crime aumentou mais de três vezes em todo o mundo — mais do que qualquer outra categoria, segundo um estudo da empresa de segurança Intel Security. E o Brasil é um dos países com as maiores taxas de crescimento.
O rapto dos arquivos é feito por um vírus conhecido pelo nome “ransomware”, numa referência à palavra ransom (“resgate”, em inglês). Diferentemente de outros métodos usados por criminosos digitais, o objetivo não é roubar contas bancárias, números de cartões de crédito ou informações sigilosas, mas bloquear o acesso aos principais arquivos no computador e lucrar com o resgate deles.
Uma vez instalado, esse software malicioso faz uma varredura no disco rígido em busca de arquivos importantes (documentos do Office, bases de dados, PDFs, fotos e vídeos, por exemplo) e os codifica usando técnicas de criptografia.
O conteúdo dos arquivos não é danificado, mas os documentos só são liberados por meio de uma chave de segurança de alta complexidade que só o hacker detém. “É um nível de segurança tão elevado que é inviável quebrar o código, mesmo usando os computadores mais potentes”, diz o pesquisador Marcos Simplício, professor de engenharia da computação na Universidade de São Paulo, especializado em segurança de redes e criptografia.
A estratégia mais comum para infectar as máquinas são os e-mails de spam. Os criminosos disparam centenas de milhões de mensagens falsas simulando e-mails reais — uma cobrança de uma conta atrasada, comunicados de bancos, intimações da Receita Federal… Parte dos spams vai parar nas contas corporativas de funcionários, o que deixa as companhias expostas. De cada dez vítimas de um sequestro digital, quatro são atacadas por intermédio de seus computadores profissionais.
Segundo um estudo da empresa de segurança Symantec, as companhias do setor de serviços são as grandes vítimas. Elas representam 38% dos ataques registrados, seguidas pelas empresas da indústria (17%), de finanças e seguros (10%), órgãos públicos (10%) e empresas de varejo (4%).
O empresário Marcel dos Santos Dias, sócio de uma rede de seis postos de gasolina em São Paulo, é uma das vítimas recentes. Em março, os computadores da empresa sofreram um ataque de ransomware, e Dias perdeu todos os arquivos financeiros, incluindo o controle de estoque e os registros das mais de 3.000 vendas que são feitas a cada dia.
O problema maior é que a empresa não tinha uma cópia de segurança dos dados. “Passamos dois meses operando no escuro até conseguir restaurar todos os sistemas. Vou fechar o ano sem saber com certeza o faturamento desse período”, diz Dias. Ele preferiu não pagar os criminosos.
Os prejuízos
Todos os especialistas em segurança digital recomendam às vítimas o não pagamento do resgate para não incentivar esse tipo de crime. Mas a realidade é que nem sempre isso é possível. Em fevereiro, o hospital americano Hollywood Presbyterian Medical Center, de Los Angeles, pagou 17 000 dólares a um sequestrador digital. Considerando vítimas do mundo corporativo e também pessoas comuns, os hackers pedem, em média, cerca de 700 dólares por resgate.
É impossível dizer ao certo qual é o prejuízo provocado pelo total de ataques até agora. Segundo dados do FBI levantados a pedido de EXAME, as vítimas de ransomware nos Estados Unidos pagaram 2,6 milhões de dólares em resgates de janeiro a junho deste ano — um aumento de 60% em relação a 2015.
Esse número leva em conta apenas os casos relatados às autoridades americanas, o que nem sempre é feito pelas vítimas. Baseada em análises estatísticas, a associação de empresas de segurança Ciber Threat Alliance estima que apenas duas variedades de ransomware arrecadaram 343 milhões de dólares no mundo de janeiro de 2015 a junho de 2016.
Para dificultar o rastreamento por parte de investigadores, os criminosos usam a moeda virtual bitcoin para receber o dinheiro. Com o bitcoin, as transferências são anônimas. “A sofisticação dos criminosos acompanha a evolução tecnológica; e, no caso dos ataques de ransomwares, não é diferente. Eles se aproveitam do anonimato da moeda”, diz Thomas Holt, professor na Universidade Estadual de Michigan, especializado em crimes digitais.
Depois de um ataque bem-sucedido, as empresas costumam gastar mais do que o valor do resgate. Acabam investindo em restauração de máquinas, novos sistemas de segurança e treinamento de funcionários. Mesmo assim, não têm garantia de que novos ataques serão evitados. Contra o vírus sequestrador, o melhor remédio descoberto até agora é ensinar os funcionários a não abrir spams, além do bom e velho backup.