Um grupo criminoso chamado Fog reivindicou o ataque hacker realizado contra o governo federal em julho deste ano. Na época, nove ministérios foram afetados, além da Casa da Moeda e do Conselho de Controle de Atividades Financeiras (Coaf). Segundo uma investigação da Polícia Federal que corre em sigilo, os criminosos deixaram uma nota de resgate, propondo uma negociação para devolver os dados roubados. O Organized Crime and Corruption Reporting Project (OCCRP), rede global de jornalistas que investiga crimes transnacionais, obteve acesso a ofícios trocados entre a PF e autoridades americanas em que se discute o caso.
O ataque ocorreu na manhã de 23 de julho, uma terça-feira, e a investigação começou na mesma semana. A Polícia Federal descobriu que os servidores de onde partiram os ataques estavam hospedados nos Estados Unidos, e que 28 GB de dados do governo brasileiro haviam sido enviados para o país. O Ministério da Justiça, por isso, pediu a colaboração do Departamento de Justiça americano. Disse se tratar de um caso “sensível, prioritário e urgente por natureza”.
Em um dos ofícios, a PF diz que a nota de resgate foi deixada num arquivo intitulado “ReadMe” (Leia-me) que dizia: “Se você está lendo isto, foi vítima de um ataque cibernético. Nós nos chamamos Fog e assumimos responsabilidade por este incidente.” A nota instruiu os brasileiros a negociar o resgate pela dark web. “Quanto antes vocês nos contatarem, mais rapidamente poderemos resolver esse incidente e deixar que voltem a trabalhar”, diz o texto. “Se você é um tomador de decisões, receberá todos os detalhes quando entrar em contato. Esperamos por você.”
Com base nas informações disponíveis nos ofícios, o OCCRP acessou o blog do grupo Fog hospedado na dark web. A página, de design simples, exibe informações sobre as empresas que foram alvo de seus ataques. As postagens, em geral, incluem o nome da empresa, informações básicas a seu respeito, o endereço de seu site, o valor exigido pelo resgate dos dados sequestrados, o volume de arquivos em posse dos criminosos e detalhes sobre informações sensíveis contidas neles.
Não há postagens públicas no blog sobre a invasão dos sistemas brasileiros. A nota deixada para os negociadores brasileiros, contudo, continha um link e uma senha que franqueiam acesso a um chat privado. O OCCRP acessou o chat, onde estava registrada uma conversa breve. Em 27 de julho, quatro dias após o ataque, um dos interlocutores (presumivelmente do lado brasileiro) escreveu no chat: “hi” [oi]. Cerca de 40 minutos depois, veio a primeira resposta do outro lado (presumivelmente do grupo Fog): “Você receberá os detalhes em breve”. Cinco horas mais tarde, chegaram os detalhes. O interlocutor enviou um arquivo chamado “economia listing.txt” e escreveu: “Isto foi o que capturamos.” Como não houve resposta, enviou uma nova mensagem no dia 29 em que fica clara a extorsão: “Podemos descriptografar seus sistemas em poucas horas por apenas US$ 1.200.000 [sete milhões de reais, na atual cotação do dólar]. Envie-nos três arquivos criptografados aleatórios para garantirmos – iremos descriptografá-los gratuitamente.”
O arquivo “economia listing.txt” enumera 1.087 documentos em posse dos criminosos – alguns em formato .qvd e .csv, muito usados em análises estatísticas e financeiras, outros nos formatos .xls, característicos de planilhas. O conjunto soma aproximadamente 29 GB. Como estão disponíveis apenas os títulos, e não o conteúdo, não é possível atestar se os documentos contêm dados sensíveis. Os nomes deles, no entanto, sugerem que sim. Há, por exemplo, arquivos chamados “beneficiarios_especiais.qvd”, “dados_bancarios_cultura_LPG.qvd” e “usuarios_conc_siconv.qvd”. Em se tratando mesmo de beneficiários, dados bancários e usuários do Sincov (sistema que serve à gestão de convênios do governo), é provável que os hackers tenham obtido informações sigilosas.
Em junho deste ano, a Arctic Wolf, empresa que atua no ramo da cibersegurança, publicou um texto relatando a descoberta de uma nova variante de ransomware – como são chamados os softwares de extorsão capazes de bloquear um computador à distância para exigir resgate. O ransomware se chamava Fog. Na época, foi descrito apenas como um novo tipo de malware, não como um grupo criminoso.
“No momento de nossa investigação inicial, o Fog era uma variante, não um grupo de ransomware. Isso indica a evolução dos atores da ameaça, passando de uma variante para formar uma gangue de ransomware”, explicou a equipe de inteligência do Arctic Wolf, em uma nota enviada ao OCCRP. Na época da descoberta, a empresa identificou que todas as vítimas do ransomware estavam nos Estados Unidos; 80% delas eram empresas e instituições atuantes no setor de educação.
Um levantamento feito pelo OCCRP identificou que, entre 19 de junho e 27 de novembro, o grupo Fog hackeou ao menos 59 outras entidades em doze países além do Brasil. Mais de 70% dos ataques tiveram como alvo instituições nos Estados Unidos, sendo apenas uma minoria delas atuante na área da educação. Instituições na Austrália, Alemanha e Canadá também foram alvos dos hackers.
Os ataques costumam seguir um mesmo roteiro. O ransomware utiliza credenciais VPN (Virtual Private Network) para obter acesso remoto a sistemas virtuais e aplica a técnica conhecida como “pass-the-hash”, que permite entrar em páginas fechadas sem ter uma senha de acesso. No ataque ao governo brasileiro, segundo a investigação da Polícia Federal, o grupo Fog utilizou VPNs fornecidas por quatro empresas americanas – Limestone Networks, HostDepartament NJ, Nocix e BreezeHost.io. Os investigadores solicitaram a elas que preservassem os dados de acesso. Com isso, esperam encontrar pistas sobre a origem do ataque hacker.
Solano de Camargo, presidente da Comissão de Privacidade, Proteção de Dados e Inteligência Artificial da Ordem dos Advogados do Brasil (OAB) em São Paulo, diz que o pedido feito às empresas é fundamental, porque “permite que as autoridades obtenham evidências essenciais para identificar e responsabilizar os autores”. Em casos assim, segundo Camargo, as provedoras de VPN “têm responsabilidade limitada e não são culpadas pelo conteúdo gerado por terceiros, desde que não participem diretamente de atividades ilegais e cumpram ordens legais e judiciais”.
O pedido de preservação de dados foi feito por meio da Rede 24/7, um grupo formado pela Organização dos Estados Americanos (OEA) para facilitar a cooperação entre países em casos de crimes cibernéticos. Segundo a investigação da Polícia Federal, o grupo Fog não apenas sequestrou dados sensíveis, como também iniciou um processo conhecido como credential dumping, que consiste em coletar informações de login para que os criminosos, uma vez infiltrados, possam navegar pelos sistemas como se fossem usuários legítimos. Os hackers também paralisaram o Sistema Eletrônico de Informações (SEI), uma plataforma gerida em parte pelo Ministério da Gestão e Inovação em Serviços Públicos por meio da qual funcionários do governo federal trocam todo tipo de documentos. Além disso, atacaram um servidor de backup que armazenava credenciais administrativas, o que lhes permitiu criptografar máquinas virtuais que hospedavam serviços públicos.
“Normalmente, quando dizemos que algo foi criptografado, queremos dizer que o conteúdo foi ‘misturado’ usando um algoritmo específico, e recuperar esses dados requer uma chave”, explica Lucas Lago, engenheiro de computação e ativista do Instituto Aaron Swartz. Em troca da chave, os cibercriminosos exigem dinheiro.
Se os investigadores brasileiros conseguirem identificar os autores do ataque, eles serão processados sob as leis tradicionais de extorsão – isto é, à luz de um estatuto criado em 1940, muito antes da existência da internet. A pena para o crime de extorsão, segundo o estatuto, é de 4 a 10 anos de reclusão e multa. Mas a punição pode ser ampliada caso o crime tenha sido cometido por mais de uma pessoa.
Há projetos em tramitação no Congresso que pretendem preencher essa lacuna. Um deles, relatado pelo senador Carlos Viana (Podemos-MG), propõe qualificar o “crime de invasão de dispositivo informático” (que já existe) e criar uma nova tipificação: o “crime de sequestro de dados informáticos”. “O principal objetivo é adaptar a lei à realidade atual, onde as interações são frequentemente exclusivamente digitais”, diz Viana. O senador lamenta que, pelas leis em vigor no Brasil, crimes de invasão hacker ainda são julgados “com os mesmos parâmetros do século XX”, e diz que “proteger informações públicas, especialmente aquelas envolvendo dados das pessoas, é fundamental dentro do nosso projeto de lei.”
O OCCRP perguntou à Polícia Federal sobre o andamento do inquérito e que decisões foram tomadas diante da extorsão praticada pelos hackers. A corporação disse que não comenta investigações em andamento. Não se sabe, portanto, se os arquivos foram recuperados e se as autoridades brasileiras cederam à extorsão. O Ministério da Gestão e da Inovação em Serviços Públicos, a Secretaria de Comunicação Social (Secom) do governo federal e o Ministério da Justiça também se abstiveram de comentar o caso.
Sua empresa está segura?
Nosso portfólio de serviços proporciona à sua empresa a segurança de contar com uma equipe completa, experiente e altamente qualificada para cuidar das informações do seu negócio. O atendimento é personalizado e prestado por profissionais que procuram conhecer profundamente o seu negócio, dando suporte ao seu crescimento.
- Relação transparente na contratação de serviços, que lhe permitirá acompanhar e avaliar o andamento e os resultados dos trabalhos realizados;
- Tranquilidade de saber que seu ambiente de segurança e infraestrutura de TI está em mãos competentes, deixando você livre para se concentrar no seu core business;
- Consultoria contínua, atualizando constantemente sua equipe sobre as novas ameaças e tipos de ataques. Além das principais metodologias e soluções inovadores, para manter seu ambiente seguro e melhorar o desempenho do seu negócio;
- Orientá-los sobre as melhores práticas do mercado, auxiliando o Gestor de TI no planejamento estratégico de segurança de informação e no processo de tomada de decisão.
Fonte: Folha de S. Paulo – Piauí