Uma campanha de ransomware que teve como alvo 23 cidades americanas em todo o Texas levantou sérias preocupações sobre a vulnerabilidade dos governos locais e serviços públicos a ataques cibernéticos. Esses eventos ocorrem não muito depois de ataques semelhantes a organizações governamentais e empresariais em Indiana, Flórida e em outros lugares. Eles refletem uma mudança geral nas táticas de ransomware de ataques "spray and pray" a um grande número de consumidores individuais, para "caça grossa, "que visa organizações, geralmente por meio de pessoas em posições de poder.

Um relatório recente da empresa de segurança cibernética Malwarebytes encontrou um aumento de 363% nas detecções de ransomware contra empresas e organizações (em oposição a indivíduos) de 2018 a 2019. Simplificando, os cibercriminosos veem uma oportunidade de extorquir muito mais dinheiro de organizações do que de indivíduos. Embora a maioria dos ataques de ransomware ocorram nos EUA, governos locais em todo o mundo são igualmente vulneráveis.

O ransomware geralmente se espalha através de e-mails de phishing ou links para sites infectados, contando com o erro humano para obter acesso aos sistemas. Como o nome sugere, ransomware é projetado para bloquear o acesso aos dados, sistemas ou serviços até que o resgate seja pago. A nível técnico, as cidades tendem a ser alvos bastante fáceis porque muitas vezes têm sistemas operacionais personalizados, com peças antigas e desatualizadas, bem como medidas de backup ineficazes.

As cidades também tendem a não ter políticas de segurança para todo o sistema, então, se os cibercriminosos conseguirem entrar por meio de um sistema, eles podem acessar outras pessoas e causar estragos, congelando dados essenciais e impedindo a entrega de serviços. Mas mesmo que as organizações tenham melhorado sua segurança técnica, minha pesquisa com minha colega Lena Connolly descobriu que poucos colocam igual ênfase no treinamento de funcionários para identificar e resistir a ataques.

Alvo adquirido

Funcionários em muitas organizações de pequeno e médio porte, como governos locais, muitas vezes não reconhecem o verdadeiro valor comercial de sua organização para os criminosos, e geralmente pensam que é improvável que sejam direcionados. Como resultado, eles também podem desenvolver hábitos ruins - como usar sistemas de trabalho por motivos pessoais - que podem aumentar a vulnerabilidade.

Os infratores farão sua lição de casa antes de lançar um ataque, a fim de criar a interrupção mais severa possível. Afinal, quanto maior a pressão para pagar o resgate, quanto mais alto eles podem definir a tarifa.

Os invasores identificam os principais indivíduos para atacar e procurar vulnerabilidades, como computadores que foram deixados ligados fora do horário de trabalho, ou não foram atualizados. Depois de descobrirem quem deve ser o alvo, os cibercriminosos empregam técnicas de "engenharia social", como phishing, que manipulam psicologicamente as vítimas para abrir um anexo de e-mail ou clicar em um link, que permite que o programa de ransomware entre no sistema operacional da organização.

Pagar ou não pagar?

Pagar ou não o resgate não é uma decisão fácil para as autoridades municipais com serviços públicos vitais em jogo. A maioria das agências de policiamento instrui as vítimas a não pagar, mas como o prefeito Stephen Witt de Lake City, Flórida, coloque-o depois que sua pupila foi alvo:"Com o seu coração, você realmente não quer pagar esses caras. Mas, dólares e centavos, representando os cidadãos, era a coisa certa a se fazer. "

Outro problema é que o ransomware nem sempre é implantado para extorquir dinheiro - portanto, pagar o resgate não garante que os dados serão restaurados. Os atacantes podem ter motivos variados, habilidades e recursos - trabalhar seus motivos (muitas vezes com muito pouca informação) é, portanto, crucial.

Em vez de simplesmente ganhar dinheiro usando ransomware, alguns cibercriminosos podem tentar desabilitar concorrentes de mercado que fornecem bens ou serviços concorrentes. Ou, eles podem usar os ataques para ganho político, para reduzir a confiança do público na capacidade do governo local de fornecer serviços essenciais. Em tais casos, os dados provavelmente nunca serão restaurados, mesmo que o resgate seja pago.

Buscando cobertura

Muitas cidades têm seguro contra ataques, e as seguradoras muitas vezes pagam o resgate para recuperar dados roubados - às vezes empregando negociadores terceirizados, contra o conselho nacional. Ironicamente, o conhecimento de que os cibercriminosos provavelmente serão pagos justifica o tempo que gastam pesquisando as fraquezas de seus alvos, e deixa a porta aberta para ataques repetidos. Essa foi uma das razões pelas quais os cibercriminosos mudaram de tática e começaram a atacar as organizações.

Isso deixa as autoridades da cidade uma escolha difícil, entre pagar para restaurar dados e serviços essenciais (e encorajar os cibercriminosos) ou admitir que seus sistemas foram comprometidos e enfrentar reações sociais e políticas. Mesmo assim, existem algumas medidas que as autoridades municipais podem tomar para se proteger, e seus cidadãos, de ransomware.

Hoje, as autoridades precisam presumir que é uma questão de quando - e não se - um ataque acontecerá. Eles devem instalar sistemas de backup para dados protegidos que tenham a capacidade de substituir sistemas operacionais e bancos de dados infectados, se necessário. Por exemplo, no Reino Unido, a pesquisa descobriu que 27% das organizações governamentais locais foram alvos de ransomware em 2017. Ainda assim, 70% dos 430 entrevistados tinham sistemas de backup em funcionamento, em preparação para o Regulamento Geral de Proteção de Dados da UE (GDPR), e, portanto, poderiam se recuperar de um ataque de ransomware muito mais rápido do que seus equivalentes nos Estados Unidos.

As autoridades locais precisam separar seus sistemas de dados sempre que possível e instalar níveis apropriados de segurança. Eles também precisam treinar os funcionários sobre a natureza da ameaça e os impactos de suas próprias ações ao trabalhar nos sistemas da organização. Eles também devem estar cientes dos esquemas internacionais para prevenir e mitigar ransomware (como nomoreransom.org) - que fornecem conselhos e publicam as chaves de alguns ransomware online.

As organizações públicas devem ser capazes de pensar rapidamente e se adaptar a essas novas ameaças à segurança, especialmente porque os cibercriminosos estão sempre apresentando novas técnicas. Os governos locais precisam estar preparados para evitar simultaneamente ataques cibernéticos, mitigar seus efeitos quando eles acontecerem e levar os cibercriminosos à justiça.

Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.