O FBI (Agência Federal de Investigação dos EUA, da sigla em inglês) omitiu dados que poderiam ter desbloqueado os sistemas de centenas de empresas e instituições atingidas por um ataque cibernético do tipo ransomware nos últimos meses, segundo informações do jornal The Washington Post. O objetivo dos investigadores ao esconder tais informações era usá-las para chegar aos hackers que orquestraram a ação.
Um ataque ransomware consiste no sequestro cibernético de dados. Os hackers invadem um determinado sistema e criptografam as informações, tornando impossível acessá-las devidamente. A criptografia só é revertida mediante ao pagamento de um resgate, invariavelmente cobrado em criptomoedas. No caso em tela, o FBI teve acesso à chave de cripografia que desbloquearia os sistemas invadidos, mas optou por não compartilhá-lo para não prejudicar a investigação.
A chave foi obtida porque os investigadores conseguiram invadir o sistema do grupo russo de hackers REvil, que empreendeu os ataques cibernéticos. A retenção dos dados pela agência norte-americana acabou prejudicando desde empresas privadas de setores diversos até escolas e hospitais, que não apenas ficaram sem acesso aos sistemas, como em determinados casos pagaram pela liberação da chave.
No final, o prejuízo ficou tanto com as instituições invadidas quanto com o FBI, que não conseguiu chegar aos criminosos virtuais. O sistema do REvil foi desativado durante a investigação, e os hackers desapareceram antes que pudessem ser identificados.
Segundo pessoas envolvidas na investigação, situações como esta constituem um dilema habitual em casos de ransomware. “As perguntas que fazemos todas as vezes são: qual seria o valor de uma chave se divulgada? Quantas vítimas existem? Quem poderia ser ajudado?” disse um indivíduo que falou em condição de anonimato. “Por outro lado, qual seria o valor de uma possível operação de longo prazo para interromper um ecossistema?”.
Encerrada a investigação, devido ao sumiço dos hackers, o FBI então compartilhou a chave de criptografia. Àquela altura, porém, as empresas afetadas já haviam adotada medidas diversas, e os dados fornecidos pelos investigadores serviram apenas para acelerar um pouco o processo.
Em depoimento perante ao Congresso norte-americano, Christopher A. Wray, diretor do FBI, diz que a demora em casos assim deve-se a dois fatores. Um deles é a colaboração com agências estrangeiras, o que torna a decisão conjunta, e não exclusiva de Washington. O outro é o fato de que a tal chave de criptografia obtida precisa ser “testada e validada”.
Fabian Wosar, diretor de tecnologia da Emsisoft, empresa neo-zelandesa atingida pelo ataque, desmente Wray. Segundo ele, na pior das hipóteses, o processo levaria quatro horas. No caso em questão, bastaram dez minutos para tesar e validar a chave, porque a empresa já tinha familiaridade com os ataques do REvil.
Por que isso importa?
Os EUA têm aumentado a pressão sobre a Rússia em meio aos seguidos ataques cibernéticos cometidos por grupos de hackers contra empresas e governos ocidentais, que parecem não ter desacelerado desde que o assunto foi pautado na cordial cúpula entre os presidentes dos dois países, ocorrida em junho.
Na ocasião, o presidente dos EUA, Joe Biden, advertiu o presidente russo Vladimir Putin sobre os contínuos ciberataques envolvendo pedidos milionários de resgate, incluindo uma ação do grupo REvil, que exigiu US$ 70 milhões em bitcoin pela devolução dos dados.
Um relatório da empresa de segurança digital Analist1, divulgado no dia 11 de agosto, atestou a responsabilidade de Moscou pelo recrutamento de grupos de hackers especializados em ransomware, com o objetivo de comprometer o governo dos Estados Unidos e organizações afiliadas a Washington, com os governos da Europa Ocidental.
Duas agências governamentais russas estariam por trás do recrutamento: a FSB (Agência de Segurança Federal, da sigla em inglês) e o SVR (Serviço de Inteligência Estrangeira, da sigla em inglês). A missão atribuída aos hackers investigados pela Analist1 é desenvolver e implantar malware (programas maliciosos) personalizado voltado a empresas do setor militar.
Os ransomwares, além de comprometerem o funcionamento de uma instituição devido à perda de arquivos importantes, serve para os hackers lucrarem com o valor do resgate. É um crime que tem aumentado bastante. “Em junho de 2016, os criminosos na Rússia ganharam cerca de US$ 7,5 mil por mês conduzindo operações de ransomware. Hoje, os invasores ganham milhões de dólares com um único ataque”, afirma o relatório.