BlackCat o ransomware que parou a rede Record

Se um gato preto cruzar o seu caminho trará grande infortúnio, diz a superstição popular. No início deste mês de outubro, a segunda maior emissora de TV comercial do Brasil, a Rede Record, descobriu da pior maneira que cruzar o caminho do grupo de ransomware BlackCat pode também ser sinônimo de azar.

A emissora sofreu um ataque cibernético que foi reivindicado por um conhecido grupo de ransomware. Aparentemente, operadores ou parceiros das variantes de ransomware conhecidas como BlackCat, Alphv e Noberus realizaram os ataques.

BlackCat, Alphv e Noberus são os nomes do malware que é atualmente uma das maiores ameaças cibernéticas para os sistemas informáticos de cidadãos, instituições e empresas. Começando com o fato de que é um programa sofisticado do tipo ransomware escrito na linguagem de programação Rust. Este programa é usado em operações ransomware-as-a-Service (RaaS).

Malwares deste tipo encriptam dados (bloqueiam ficheiros) e exigem pagamento pela desencriptação. Normalmente, estes programas maliciosos renomeiam ficheiros encriptados, adicionando-lhes extensões específicas. No entanto, como ALPHV (blackcat) é oferecido como RaaS, as suas extensões, nomes de ficheiros de notas de resgate e os seus conteúdos variam devido aos diferentes criminosos cibernéticos envolvidos.

Os desenvolvedores do ransomware blackCat afirmam que analisaram os bugs e problemas de seus antecessores e criaram uma versão aprimorada de malware. No entanto, empresas renomadas de segurança cibernética, a exemplo da Kaspersky, consideram que a familiaridade com os ransomwares blackmatter e Revil pode ser significativamente mais próximo do que eles estão tentando mostrar, podendo se tratar inclusive do mesmo grupo de criminosos.

De qualquer forma, o ransomware que é comercializado como ALPHV em fóruns de crimes cibernéticos e é comumente chamado de BlackCat por pesquisadores de segurança devido a um ícone de um gato preto que aparece em seu site, só foi observado sendo implantado em ataques desde novembro de 2021.

No caso do ataque sofrido pela TV Record, as transmissões da emissora, arquivos de funcionários, credenciais de acesso, dados e atividades da organização relacionadas às finanças da empresa foram comprometidos. Sendo tão insidioso quanto os outros vírus de chantagem, após criptografar os arquivos da emissora sem aviso prévio, o grupo solicitou o pagamento de aproximadamente R$ 25 milhões como resgate.

O fato da emissora de TV ter se tornado a mais nova “refém digital” no Brasil chama mais uma vez a atenção da comunidade de segurança cibernética para a realidade de que a indústria altamente profissional de criminosos da Internet está se desenvolvendo constantemente em torno do software de chantagem chamado ransomware, fazendo com que as empresas percam somas em dinheiro significativas quando dados importantes são repentinamente criptografados ou todo o sistema é bloqueado.

Apesar disso, as investigações criminais raramente conseguem rastrear os invasores. Suspeita-se que a Europa Oriental seja responsável por boa parte das atividades e volume de ransomware, mas as chamadas “gangues de ransomware” são um fenômeno global há muito tempo. Como regra, eles cobrem bem seus rastros, e o país de origem dos ataques muitas vezes só pode ser identificado com base em pequenos detalhes no código do programa. O pagamento do resgate também é processado usando a criptomoeda Bitcoin, que é considerada anônima.

Em princípio, todos os dispositivos eletrônicos que possuem interface com a Internet ou com outras mídias removíveis são suscetíveis a malwares. Além de PCs, laptops, smartphones e tablets, relógios inteligentes, televisores ou aspiradores de pó, por exemplo, também podem ser afetados por softwares maliciosos. Enquanto os CD-ROMs ou pen drives infectados anteriormente eram mais propensos a ser as fontes de softwares maliciosos, hoje a conexão constante com a Internet dos dispositivos é a principal porta de entrada para programas maliciosos.

A rede Record ainda não se pronunciou oficialmente sobre o tamanho de seu prejuízo financeiro e o risco reputacional do ataque para a marca. Mas está claro mais uma vez que nenhuma empresa deve ter essas duas fraquezas sistemáticas: não detectar ataques, se eles acontecem, ou não percebê-los com antecedência suficiente. E em segundo lugar, quando ocorrem danos, que não consigam colocar sua TI de volta nos trilhos o mais rápido possível.