agosto 24, 2021

[Segurança] Reflexões sobre o ataque a Renner

Parecia um circo romano, com direito a luta de gladiadores e platéia, desses da Roma antiga. Enquanto na arena os gladiadores lutam pela sua vida, em volta a plateia se diverte, torce pela derrota dos gladiadores, e comemora cada disputa perdida.

Mas essa cena aconteceu há poucos dias... Guardadas as devidas proporções, esta imagem serve para ilustrar o comportamento que estamos observando na comunidade de segurança toda vez que é noticiado algum ataque cibernético a uma grande empresa. O ápice aconteceu agora, com o ataque de ransomware contra as lojas Renner.

Entre o final da quinta-feira da semana passada (19/08) e início da sexta-feira (20/08), a rede de lojas varejistas Renner foi vítima de um ciber ataque de ransomware, que paralisou o seu site, vendas online e causou impacto nas lojas físicas. O acesso ao site era redirecionado para uma página de manutenção. O ciber ataque e seu impacto foram confirmados em um comunicado ao mercado lançado pela empresa. Segundo uma captura de tela que circulou pela web com uma suposta nota de resgate deixada pelos criminosos, a empresa foi vítima do ransomware RansomEXX. Esse ransomware e bem conhecido do público brasileiro, pois já atacou o STJ em novembro do ano passado, a Embraer e o Grupo Ultra, entre outros. A Renner restabeleceu sua operação em aproximadamente dois dias e nega ter pago o resgate.


O show de horror envolvendo a reação da comunidade a esse ataque foi bem completo: os primeiros relatos sobre o ataque já foram acompanhados de diversos boatos, informações vazadas internamente, além de informações desencontradas e até mesmo fake news. O pior: todas as informações foram compartilhadas  em diversos grupos em rede sociais, sem validar a veracidade nem a origem delas.

Poucos minutos após ser compartilhadas as primeiras notícias do ataque, os memes já estavam circulando nas redes sociais e nos grupos do WhatsApp, satirizando a situação da Renner e seus funcionários.

 

Na verdade, os rumores iniciais sobre o ciber ataque foram acompanhados por uma imagem da suposta nota de resgate deixada pelo Ransomware, provavelmente vazado por alguém interno da empresa. Também surgiu muita especulação, vindas principalmente de um áudio supostamente enviado por um funcionário da empresa.


Na imagem da nota de resgate é possível identificar o site utilizado pelo ransomware, hospedado na rede TOR. Tal site é atribuído ao RansomEXX, por isso, se a nota for verdadeira, o ataque foi realizado por esse grupo. Mas no print não é possível identificar a página específica do pedido de resgate da Renner, pois a URL na imagem está truncada: a parte da URL que identifica a página de resgate só apresenta 24 dos 40 caracteres que formam a URL completa. Na home page do site, a lista de vítimas começa pela Giba-Byte Technology, publicada em 12/08. Essa é a página de "public shamming" do grupo criminoso, que mostra em sua home as empresas que não pagaram o resgate.

Note: se o ataque foi realmente desse grupo e a Renner não pagar o resgate, em breve os criminosos vão publicar as informações roubadas da empresa nesse site.

Nesse áudio de um suposto funcionário da Renner, a pessoa descreve o ataque, seu impacto e diz que os criminosos estavam exigindo 1 bilhão de dólares de resgate. O áudio é bem tosco, e a descrição do ataque é tecnicamente imprecisa e incorreta, usando termos e expressões como "quebraram a criptografia do firewall", "entraram pelo TCP", "TCP é inseguro" e "tava tudo regulamentado pela LGPD, não era para ter hack nenhum".

Em seguida, surgiram os supostos indicadores de comprometimento (IOCs) associados ao ransomware que atacou a Renner, mal o ataque tinha sido confirmado oficialmente. Tais indicadores incluíam listas de endereços IP, hashes de arquivos e urls, entre outros. Na verdade, dois conjuntos diferentes de IOCs estavam sendo compartilhados nos grupos de Whatsapp, deixando claro que, sendo otimista, pelo menos uma das listas estava errada e era compartilhada sem ser validada. Provavelmente os indicadores foram coletados de ataques de ransomware anteriores, esquecendo que geralmente os artefatos são customizados para cada vítima. Afinal, naquele momento, mesmo o pessoal de tecnologia da Renner, que já deveria estar trabalhando exaustivamente no incidente, não teve tempo de identificar essas informações. IOCs também foram publicados no site do Alien Vault.

Ou seja, enquanto o time da Renner devia estar trabalhando incansavelmente e sob enorme pressão para conter o ataque e recuperar os sistemas, nos grupos de profissionais de segurança, os memes, boatos, fake news e especulações eram compartilhadas sem controle.

A quantidade de boatos e fake news sobre o ataque foi impressionante:
  • "O ransomware exigiu um resgate de 1 bilhão de dólares" - esse boato certamente está associado ao suposto áudio do funcionário, e é um valor irreal. Primeiro, porque geralmente os resgates atualmente tem sido de valores em torno de 1 milhão de dólares (logo, é mais provável que a pessoa confundiu milhão com bilhão). Segundo, porque esse valor representa mais de 5 vezes o faturamento anual da Renner em 2020 - logo, um valor impossível de ser pago;
  • "As lojas baixaram as portas" - segundo relatos, as lojas continuaram funcionando, embora com lentidão nos sistemas ou limitando os meios de pagamento aceitos;
  • "O ransomware teria feito o bypass no antivírus da Kaspersky", uma solução que não é utilizada pela Renner!
  • "A Renner teria pago US$ 20 milhões pelo resgate", segundo notícia no site Coin Times. Mas esse valor, convertido em reais, representa aproximadamente 10% do faturamento do ano passado. Na minha opinião, ainda é um valor muito alto e não seria viável o seu pagamento.

A situação melhorou um pouco a partir da sexta-feira, segundo dia do ataque, quando algumas pessoas  começaram a questionar nas redes sociais a postura tóxica da comunidade de segurança. Mais ou menos ao mesmo tempo, surgiu um vídeo bem legal, aonde os funcionários das lojas da Renner prestavam homenagem aos profissionais de TI da empresa, que tentavam recuperar os sistemas.

Esse incidente mostra como nós, da comunidade de segurança, ainda precisamos amadurecer muito a nossa reação e, principalmente, nossa empatia.

Provavelmente, o maior problema por trás desse comportamento imaturo que observamos na comunidade durante o ataque a Renner acontece porque estamos acostumados a criminalizar a vítima, e assim, fazer chacota ou desconsiderar a sua dor. Ou seja, existe uma cultura de atribuir a culpa a vítima, como se ela tivesse causado o problema ou feito por merecer.

Além disso, há o medo das demais empresas serem atacadas por ransomware, o que fomenta uma busca desenfreada por informações.


Como não temos uma entidade confiável que centralize e compartilhe essas informações, como um CERT nacional, as pessoas acabam compartilhando a informação que tem - sem necessariamente validar a sua fonte e sua veracidade. Uma rara excessão aconteceu durante o ataque ao STJ em novembro de 2020, quando o pessoal do CAIS/RNP e do CTIR.gov centralizaram informações sobre o ataque. Nessa hora também aparecem algumas empresas que tentam preencher essa lacuna, como no caso de uma empresa nacional que publicou um relatório de 10 páginas sobre o ataque, que não trazia novidade alguma e tinha dicas genéricas, de ataques anteriores.

Eu espero que as reflexões sobre este incidente ajudem a amadurecer nossa comunidade. Eu mesmo confesso que comecei a questionar o compartilhamento indiscriminado de IOCs em redes sociais após ouvir críticas de colegas sobre isso durante o ataque ao grupo Fleury.

Temos um bom caminho pela frente.

Para saber mais:
PS (Adicionado em 25/08): Vale a pena dar uma lida nesse excelente artigo do Carlos Cabral: Ser vítima não é o mesmo que ser incompetente, pense nisso ao lidar com ransomware.

PS/2 (Adicionado em 25/08): Escrevi uma versão desse artigo para o meu perfil no Linkedin: Reflexões sobre os ataques de Ransomware.

PS3 (Adicionado em 01/09): Vi um artigo que fala, rapidamente, como a Renner conseguiu recuperar os sistemas após o ataque de ransomware. Segundo eles, foi necessário criar um ambiente novo, o que foi possível com muito trabalho, backup e ferramentas que ajudaram a mapear os sistemas existentes e como eles comunicam entre si: CSO conta como a Renner voltou ao ar em 48 horas. Além disso, segundo a Renner. não foram encontradas evidências de que houve vazamento de dados.

PS 4 (Adicionado em 09/09): O meu artigo no Linkedin também foi reproduzido no portal CryptoID: Reflexões sobre os ataques de Ransomware. Por Anchises Moraes.

Um comentário:

Anônimo disse...

"Uma rara excessão aconteceu durante o ataque ao STJ em novembro de 2020, quando o pessoal do CAIS/RNP e do CTIR.gov centralizaram informações sobre o ataque"

Mas isso não significa que a resposta tenha sido boa. Foi mais como um pânico geral. Dentre outras recomendações sem pé nem cabeça, na ocasião mandaram uma lista de endereços IP "relacionados ao ataque" que incluía endereços do GitHub, da Google, dentre outros, solicitando que todos os órgãos públicos bloqueassem em firewall de borda. Isso gerou uma grande dor de cabeça nos meses que se seguiram para depurar misteriosos problemas de rede que estavam acontecendo. E para convencer os gestores que o CTIR.gov tinha feito besteira, e conseguir autorização para retirar os bloqueios do firewall?

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.