Ransomware de Baltimore
O ataque de ransomware a Baltimore em maio de 2019 afetou empresas, agências governamentais e serviços públicos em grande escala e virou a cidade de cabeça para baixo. Os danos causados custaram até 18 milhões de dólares para serem corrigidos. Exploraremos como esse ataque ocorreu, suas consequências e o que as empresas podem fazer para aprender com esses incidentes e se proteger contra ransomware.
Proteja sua empresa contra ransomware com o Avast Business Server Antivirus
Quando o ataque a Baltimore ocorreu?
O ataque de ransomware a Baltimore ocorreu no dia 7 de maio de 2019, durante um momento de turbulência na cidade. A ex-prefeita de Baltimore, Catherine Pugh, havia acabado de deixar o cargo no dia 2 de maio após um escândalo, acusações criminais e subsequente prisão; seu sucessor, Bernard C. Young, assumiu o comando em 9 de maio. Os hackers atacaram a infraestrutura digital da cidade em um momento em que as prioridades de segurança cibernética haviam ficado em segundo plano. O ataque durou mais de duas semanas.
O evento de 2019 marcou a segunda vez em que a cidade fora vítima de uma violação de dados. Em março de 2018, um ataque de ransomware desativou os sistemas de emergência por mais de 12 horas e, em 25 de novembro de 2020, um terceiro ataque de ransomware atingiu o ensino público da cidade de Baltimore, afetando mais de 170 escolas, vários sistemas educacionais e cerca de 115.000 alunos.
Como o ataque do ransomware a Baltimore ocorreu?
No dia 7 de maio de 2019, o Departamento de Obras Públicas de Baltimore tuitou que seus serviços de e-mail não estavam disponíveis. A interrupção se estendeu às linhas de telefone. Depois disso, ocorreu um efeito dominó em toda a cidade: cerca de 10.000 sistemas governamentais, inclusive sistemas do Departamento de Transportes, ficaram inacessíveis.
Havia ocorrido uma tentativa de ataque cibernético às linhas telefônicas de emergência, semelhante ao ataque de ransomware que atingira a cidade em 2018, levantando suspeitas. As autoridades, trabalhando em conjunto com o FBI, conseguiram identificar que a cidade havia sido vítima de um ataque de ransomware RobbinHood.
Os criminosos usaram o RobbinHood para impedir o acesso dos funcionários do governo aos sistemas operacionais, sequestrando todos os dados e tornando todos os sistemas e aplicativos inacessíveis. Dois dias depois do ataque inicial, os hackers publicaram um pedido de resgate endereçado ao novo prefeito, que exigia três bitcoins por sistema bloqueado ou 13 bitcoins (cerca de US$ 76.000) para recuperar o acesso aos sistemas. O pedido acrescentava que o resgate aumentaria em 10 mil dólares por dia a partir de 11 de maio se nenhum pagamento fosse feito e que todos os dados comprometidos seriam excluídos permanentemente.
Conheça o RobbinHood
O Robbinhood é um tipo sofisticado de ransomware que mimetiza métodos mais elaborados vistos em tipos avançados de ransomware, como os ransomwares Ryuk, Locky e Petya, que invadem por meio do hackeamento dos Protocolos de Área de Trabalho Remota (RDPs). Assim, os hackers podem cortar a conexão entre o hardware e a rede, acabar com suas defesas de segurança cibernética (bem como qualquer software de recuperação) e restringir o acesso a todos os arquivos e pastas por meio de criptografia. Isso impossibilita qualquer potencial recuperação de dados confidenciais, a menos que um resgate seja pago em troca de uma chave de descriptografia.
Como a cidade reagiu?
Quando o prefeito Young foi notificado de que a cidade estava sofrendo ataques, ele divulgou um comunicado oficial destacando que um número considerável de serviços da cidade havia sido substituído temporariamente por processos manuais e que muitos serviços do governo estavam indisponíveis, como o sistema de pagamento com cartão da cidade que permitia aos cidadãos pagar impostos imobiliários e tarifas de estacionamento. No entanto, ele também afirmou que a cidade estava trabalhando em conjunto com o FBI e especialistas em tecnologia, como a Microsoft, para recuperar todos os sistemas. Ele reconheceu que poderia levar semanas ou até meses para resolver o problema, já que vários sistemas precisariam ser restaurados.
Durante duas semanas, os funcionários da cidade não puderam acessar o sistema de e-mail. Assim, eles criaram contas do Gmail para compensar o impacto e permitir que os cidadãos pagassem pelos serviços essenciais, como contas de água. Infelizmente, a criação de contas em massa alertou os sistemas de spam do Google e também levou ao bloqueio dessas contas; mas assim que notificado, o Google as desbloqueou.
A Agência de Segurança Nacional (NSA) foi considerada a maior responsável pelo ataque de ransomware, pois acreditava-se que os hackers haviam usado a ferramenta de exploração EternalBlue (anteriormente criada pela NSA) para invadir sistemas Windows. A ferramenta foi roubada e vazada pelo Shadow Brokers em abril de 2017, tornando-se popular entre os ransomwares novos e em desenvolvimento e, portanto, considerada o ponto de acesso para o ataque.
O consultor sênior da Agência de Segurança Nacional (NSA) respondeu ao diretor de estratégia de segurança cibernética, Rob Joyce, que o foco no EternalBlue era imponderado: a Microsoft já havia fornecido patches para combater o EternalBlue, e a cidade de Baltimore tivera mais de dois anos para aplicá-las e corrigir quaisquer outros pontos fracos em sua infraestrutura de TI. Analisando o ataque mais profundamente, o analista de malware Joe Stewart determinou que não havia, de fato, nenhum vestígio da exploração EternalBlue no código do ransomware, mas que ele poderia ter facilitado a propagação do malware.
A cidade de Baltimore pagou o resgate?
A cidade de Baltimore não pagou o resgate, apesar das crescentes pressões, pois os hackers divulgaram dados confidenciais relacionados a funcionários da cidade e ameaçaram divulgar ainda mais informações. A maioria dos sistemas operacionais da cidade voltou a funcionar em meados de junho, enquanto que vários sistemas, como os relacionados a licenças eletrônicas, imóveis e contas de funcionários, somente foram totalmente restaurados no final daquele mês.
O prefeito Young divulgou uma declaração em vídeo no Twitter em resposta às críticas públicas e aos pedidos de pagamento do resgate. Ele afirmou que:
“Em primeiro lugar, formos instruídos pelo Serviço Secreto e pelo FBI a não pagar o resgate. Em segundo lugar, não é assim que as coisas funcionam por aqui. Não recompensamos comportamentos criminosos. Se pagássemos o resgate, não havia garantias de que eles desbloqueariam nosso sistema.”
“Não é possível rastrear o pagamento ou mesmo confirmar quem estamos pagando. Devido à forma como eles solicitaram o pagamento, ainda corremos o risco de eles deixarem outro malware em nosso sistema para nos solicitar um novo resgate no futuro. De qualquer forma, ainda teríamos que tomar todas as medidas que tomamos para garantir um ambiente seguro e protegido. Tenho certeza de que tomamos a melhor decisão.”
A secretária de operações do prefeito, Sheryl Goldstein, forneceu comentários adicionais:
“Os investigadores federais nos aconselharam a não pagar o resgate. Os dados indicam 50% de chance de recuperar os dados ao pagar um resgate e, mesmo que você pague, ainda seria necessário verificar o sistema e garantir que esteja livre de malware. Não basta simplesmente colocá-lo em funcionamento e acreditar que está tudo certo. Trata-se de um custo que teríamos que arcar de qualquer forma.”
Quais foram as consequências do ataque de ransomware a Baltimore?
O ataque de ransomware à cidade de Baltimore em 2019 durou cerca de um mês e gerou um custo de até 18,2 milhões de dólares para resolver as interrupções dos serviços, incluindo remediações, novos hardwares e receita perdida ou diferida. Dos mais de 10.000 servidores, 35% recuperaram o acesso às suas contas nesse período – o número chegou a 95% nos meses seguintes.
Semelhante ao ataque de ransomware a Atlanta em 2018, o ataque de ransomware a Baltimore afetou departamentos governamentais, serviços públicos e serviços de estacionamento, todos os quais tiveram que ser processados manualmente.
Ao contrário do ataque de ransomware ao NHS no Reino Unido, que impactou serviços de missão crítica de forma significativa, os departamentos de emergência de Baltimore não foram afetados diretamente pelo ataque RobbinHood e permaneceram em funcionamento. No entanto, o ataque afetou o mercado imobiliário da cidade, sendo que os funcionários somente conseguiram voltar a concluir as vendas de imóveis no final de junho.
Sendo o segundo ataque de ransomware a Baltimore em cerca de 15 meses, a cidade foi alvo de críticas, mas desde então introduziu medidas preventivas para garantir que outro não ocorresse. As medidas incluíram o estabelecimento de um novo comitê de segurança cibernética, liderado pelo presidente do conselho, Brandon Scott. O comitê realizou uma revisão completa das vulnerabilidades da cidade e da resposta ao ataque, a fim de introduzir novas políticas, práticas e tecnologias para desenvolver uma infraestrutura de TI robusta.
Ataque às escolas públicas da cidade de Baltimore em 2020
As escolas públicas da cidade de Baltimore foram vítimas de um terceiro ataque de ransomware em 24 de novembro de 2020, dois dias antes do Dia de Ação de Graças. Apesar de dois eventos anteriores de ransomware de grande importância na cidade, as medidas para proteger as enormes quantidades de dados confidenciais eram fracas. Todos os dados confidenciais e sistemas escolares associados foram criptografados, afetando “todos os aspectos do sistema de ensino público da cidade de Baltimore.”
Apesar de ter backups dos dados existentes, estima-se que o custo da recuperação ultrapassou 8 milhões de dólares. Mais de 9.000 laptops de funcionários tiveram suas imagens recriadas (os discos rígidos foram apagados e novos sistemas operacionais foram instalados) após o ataque, assim como os dispositivos dos alunos. Alguns dados ou planos de aula foram perdidos para sempre e a rede escolar teve que ser totalmente reconstruída.
O evento causou interrupções generalizadas nos recursos de aprendizagem remota para até 115.000 alunos, que eram essenciais naquele momento devido à pandemia da COVID-19. A mudança de longo prazo para o trabalho remoto e híbrido levou a um aumento do número de endpoints, criando riscos adicionais de segurança cibernética.
Embora não tenha sido confirmado se um resgate foi pago, as escolas públicas da cidade de Baltimore se comprometeram a:
- Reconstruir e fortalecer a infraestrutura de TI
- Introduzir novos processos, como a autenticação multifator (MFA) para todos os funcionários
- Instalar firewalls de próxima geração e proteções de dispositivo aprimoradas
No entanto, em 2021, a presidente da Associação de Professores do Condado de Baltimore, Cindy Sexton, observou que a interrupção permaneceu sem solução para certos sistemas, incluindo os sistemas de folha de pagamento da instituição: muitos funcionários tiveram seus salários atrasados ou receberam a mais ou a menos.
Que lições podemos tirar dos ataques de ransomware a Baltimore?
Embora o resgate exigido fosse muito menor do que o custo de recuperação do ataque cibernético, o prefeito Young destacou concisamente várias razões pelas quais um resgate não deveria ser pago:
- Os hackers não devem ser recompensados por comportamento criminoso, pois isso pode estimular novos ataques de ransomware à cidade no futuro
- Não havia garantia de que os sistemas e dados associados seriam desbloqueados se o pagamento fosse feito
Os ataques de ransomware a Baltimore destacam os perigos de práticas de TI e softwares de segurança desatualizados. Uma recuperação de ransomware pode custar à sua empresa milhares ou até milhões de dólares, sem mencionar os danos à reputação. É fundamental tomar medidas proativas para atualizar seus processos de segurança cibernética, incluindo:
- Instalar antivírus robusto com ferramentas integradas de proteção contra ransomware
- Implementar backups regulares
- Criar um plano de continuidade dos negócios
- Fornecer treinamento sobre segurança cibernética aos funcionários
Deixe que a Avast proteja a sua empresa contra ransomwares
Tome medidas de segurança essenciais para defender e proteger sua empresa contra ameaças de ataques de ransomware. Invista em um software antivírus empresarial que possa proteger servidores Windows, corrigir vulnerabilidades e detectar e prevenir atividades maliciosas em suas redes.