Funcionário baixa ransomware por e-mail, e cidade demite diretor de TI após pagar resgate de US$ 460 mil

Lake City, na Florida (EUA), decidiu pagar resgate após infecção com ramsomware; na sequência, cidade demitiu diretor de tecnologia da informação.
Pessoa digita em um laptop em um ambiente mal iluminado
Wilfredo Lee/AP

Lake City, no estado da Florida (EUA), pagou um resgate de bitcoin de US$ 460 mil (cerca de R$ 1,7 milhão) para cibercriminosos que desativaram os sistemas de computador da cidade com um ransomware sofisticado no mês passado.

Um pagamento de US$ 600 mil (cerca de R$ 2,3 milhões) em resgate em circunstâncias parecidas em Riviera Beach, também na Florida, foi feito semanas depois. Agora, como relatado pela mídia local e pelo ZDnet nesta segunda-feira (1º), a cidade demitiu seu diretor de tecnologia da informação.

De acordo com o WCJB, o “administrador da cidade Joe Helfenberg confirmou que o diretor de tecnologia da informação, Brian Hawkins, foi demitido” como resultado do ataque, que atingiu servidores, redes de e-mail e linhas telefônicas. Helfenberg “estima que a cidade deve se recuperar totalmente do ataque em cerca de duas semanas”.

As autoridades de Lake City descreveram o incidente como uma “tripla ameaça”, segundo o ZDnet, e desde então foi determinado que um funcionário baixou um documento infectado que recebeu por e-mail.

Isso desencadeou uma série de eventos envolvendo três variantes de malware separadas, às vezes usadas em conjunto em ataques cibernéticos. O documento inicial continha o trojan Emotet, que se instalou e posteriormente baixou outro trojan chamado Trickbot e o ransomware Ryuk.

O Ryuk então se espalhou pelos sistemas da cidade, travando as máquinas e exigindo um resgate. Apenas os sistemas da polícia e dos bombeiros foram poupados, já que estavam em um servidor diferente, segundo o New York Times.

O NYT relatou que após vários dias de trabalho com o FBI e consultores de segurança para resolver o problema, os funcionários da cidade determinaram que seria mais barato e eficaz pagar os cibercriminosos. (A empresa de segurança Emsisoft estima que os especialistas só tenham conseguido “remover o ransomware Ryuk com sucesso em 3 a 5% dos casos”, segundo o jornal). O seguro cobriu quase US$ 10 mil.

A cidade considerou que o funcionário deixou as redes da cidade vulneráveis a ataques, mas ele não foi a pessoa que baixou o anexo malicioso.

“Nosso prefeito tomou a decisão de demitir um funcionário e está reformulando todo o departamento de TI para cumprir o que precisamos para superar o que aconteceu na semana passada, e isso não acontecerá de novo”, disse prefeito de Lake City, Stephen Witt, ao WCJB. Ele ainda disse que a chave de decodificação fornecida pelos hackers parecia estar funcionando.

Pagar cibercriminosos é controverso, pois isso acaba incentivando outros ataques. Às vezes, como ocorreu a um hospital do Kansas com problemas semelhantes, em 2015, que optou pagar o resgate, os hackers simplesmente tentaram extorquir ainda mais dinheiro.

“Primeiro, este dinheiro é usado para proliferar esta atividade”, disse Joel DeCapua, agente especial da supervisão de crimes cibernéticos do FBI, para o pessoal da empresa de segurança Symantec no ano passado.

“Você está pagando esses cibercriminosos para atingir outras pessoas. Segundo, as organizações que pagam um resgate acham que seus problemas acabaram. Mas muitas vezes há muitos malwares desagradáveis que os responsáveis por TI desconhecem. Você pode pagar, mas ainda há malware, reinfectando o sistema ou roubando informações”, completou.

Os ataques de ransomware nos sistemas municipais nos EUA renderam muitas manchetes nos EUA, com estimativas de que já teve pelo menos 100 incidentes no país.

No início de junho, autoridades de Baltimore estimaram recentemente o custo de um ataque usando um ransomware, que atingiu cerca de 10 mil computadores da cidade em US$ 18 milhões (eles se recusaram a pagar o resgate).

Autoridades do Conselho Judicial de Geórgia e do Escritório Administrativo de Tribunais confirmaram que seus sistemas foram contaminados com ransomware nesta segunda-feira (1º), no que o Ars Technica informou que parece ser outro ataque usando o Ryuk.

[ZDnet]

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas