Bruno Aghazarm, consultor das áreas de segurança de dados e LGPD do Henneberg, Ferreira e Linard Advogados. Pós-graduado e especialista em Direito Digital. Graduado em Engenharia Eletrônica e Direito. Artigo publicado pelo Estadão.
Os ataques cibernéticos praticados no Brasil continuam com toda força, depredando as marcas das empresas por que passam e trazendo ao brasileiro muita insegurança com seus dados pessoais.
O site da Lojas Renner ficou indisponível à clientes e funcionários, no último dia 19/08, devido a um ataque de sequestro digital, denominado “ransomware”, sendo cobrado um resgate, pelos meliantes (denominados LockBit), de aproximadamente R$ 5,42 bilhões para liberar o acesso aos sistemas da empresa.
Estes cibercriminosos atuam há pelo menos dois anos nos mercados brasileiro e internacional, criptografam os arquivos das suas vítimas com altas velocidades e surpreendem as empresas menos protegidas. Além de tudo, operam este tipo de invasão do vírus como fosse um “serviço” (RaaS), fornecendo infraestrutura e instruções para outros criminosos que desejam realizar mais ataques, cobrando um “fee” pelo trabalho.
Outro serviço oferecido às gangues que “contratam seus préstimos” é um “cavalo de tróia” denominado de StealBit, que permite a extração automática do banco de dados e acesso à sistemas usando contas válidas baseadas no protocolo de rede remoto (RDP).
Não distante, a Accenture teve um pedido de resgate de R$ 269 milhões (em criptomoedas) por seus 6TB de dados pessoais e sensíveis vazados.
Neste ano, também, um dos casos mais marcantes envolveram a Colonial Pipeline (oleoduto norte-americano) e a JBS (brasileira), que tiveram que desembolsar valores milionários como pagamento aos cibercriminosos.
Outros países, da mesma forma, foram atacados por esta organização criminosa, como o Reino Unido, Itália e Chile.
A previsão é que o LockBit continue sendo uma ameaça recorrente no próximo semestre, especialmente pelo interesse que ele despertou com seu sistema de “prestação de serviço” ou afiliação.
Neste mesmo diapasão, a escalada de crimes cibernéticos fez a Polícia Federal abrir um inquérito, dia 19/08, para investigar um eventual ataque hacker no sistema do Tribunal Regional Federal da 3.ª Região (TRF3), em São Paulo. Houve buscas em Campo Grande, no Mato Grosso do Sul, onde também cumpriram um mandado de prisão preventiva.
A investigação foi aberta depois que dois magistrados da Justiça Federal em São Paulo detectaram alterações em documentos de alguns processos, com uso fraudulento de suas assinaturas digitais. Os hackers tentaram manipular as listas de beneficiários em processos em curso no TRF3.
A Polícia Federal conseguiu chegar aos dois suspeitos depois de rastrear os computadores usados no ataque. Eles podem responder pelos crimes de uso de documento falso, furto qualificado e invasão de dispositivo informático. O processo tramita sob sigilo.
Os crimes cibernéticos atraem a atenção de criminosos por sua alta rentabilidade e isso não somente tem estimulado o surgimento de novos métodos de ação, mas também tem atraído a atenção de meliantes que, mesmo sem muito conhecimento técnico, também querem uma fatia gorda desse mercado ilegal.
As empresas para se proteger de ataques de “ransomware” ou demais ataques cibernéticos devem adotar a abordagem de “Segurança Preventiva”, com instrução aos seus colaboradores, cultura específica, aparelhamento e ferramentas para monitoramento de sua rede em “real time”, testes contínuos, análises de riscos periódicos, criptografia, sistemas de autenticação em duas etapas em todos os níveis de acesso, bem como aplicar atualizações de segurança com ciclos PDCA, com Sistema de Gestão de Segurança da Informação, e assim que possível, investir em sistemas de treinamento de engenharia social que conscientizem colaboradores sobre golpes comuns e como evitá-los.
A Lei Geral de Proteção de Dados Pessoais (LGPD), além da proteção que cria aos cidadãos, outorga às empresas a possibilidade de aumentar sua segurança cibernética e caso o seu Compliance for de alta adesão corporativa, automaticamente estará mais tranquila em seu papel de Controlador.
