Ferramentas de análise de blockchain oferecem novas maneiras de rastrear o dinheiro em casos de ransomware Ferramentas de análise de blockchain oferecem novas maneiras de rastrear o dinheiro em casos de ransomware Ferramentas de análise de blockchain oferecem novas maneiras de rastrear o dinheiro em casos de ransomware

Os modelos de negócios em evolução e a rápida mudança global para o trabalho remoto — combinados com o uso crescente de criptomoedas — estão criando novas ameaças de ransomware para empresas em todos os lugares. No entanto, embora as ameaças estejam aumentando, o uso de novos recursos poderosos na forma de ferramentas de análise de blockchain para combater essa tendência dispendiosa também está crescendo.

O ransomware, um tipo de software malicioso que pode bloquear o acesso a sistemas de computador ou dados valiosos, muitas vezes paralisando processos críticos de negócios, está permitindo que criminosos cibernéticos lucrem extorquindo grandes e pequenas empresas mediante pagamentos em criptomoedas.

No entanto, os especialistas em análise de blockchain estão acompanhando cada vez mais a trilha de dinheiro, rastreando o movimento de recursos ilícitos para fornecer soluções e novas defesas. Investigadores dos EUA, por exemplo, fizeram um avanço encorajador em maio deste ano, aproveitando o poder da análise de blockchain para recuperar rapidamente US$ 2,3 milhões dos US$ 4,4 milhões pagos em um ataque à gigante de energia dos EUA, Colonial Pipeline Co.

De acordo com a empresa de análise de blockchain Chainalysis, endereços vinculados a ransomware extorquiram pelo menos US$ 81 milhões em criptomoedas até 10 de maio de 2021, após acumular um recorde de US$ 406 milhões em 2020. A Chainalysis observa que o valor real é provavelmente muito mais alto, já que as empresas muitas vezes não reportam os caros ataques de ransomware, que vem aumentando a cada dia.

Estima-se que 41% das organizações tenham reportado um aumento no número de incidentes de crimes cibernéticos, incluindo ataques do tipo ransomware, nesse período de trabalho remoto. Os casos continuam aumentando. O ataque de ransomware contra a Colonial Pipeline, operadora do maior oleoduto dos Estados Unidos, interrompeu o fornecimento de petróleo e gás nos Estados Unidos, e fez com que a empresa pagasse US$ 4,4 milhões em bitcoins para desbloquear sua rede.

Dados recentes indicam que a maioria das vítimas de ransomware está pagando para limitar interrupções e danos aos negócios. A seguradora global Hiscox Group, no seu “Relatório de Preparação para Ataques Cibernéticos de 2021”, estima que cerca de 60% dos clientes foram afetados⁵. E o pagamento não necessariamente garante a recuperação total dos dados.

Em média, as empresas que pagaram resgates recuperaram apenas 65% dos seus dados criptografados, enquanto 29% delas recuperaram apenas metade dos seus dados, de acordo com um relatório recente da empresa de segurança cibernética Sophos, intitulado “A situação do ransomware em 2021”, após uma pesquisa global com mais de 5 mil organizações⁶. A Sophos observa que 37% das empresas pesquisadas reportaram ter sido atingidas no ano passado por ataques de ransomware, o que a Sophos chama de a “grande ameaça” para as empresas atuais. 

Os ataques de ransomware também estão aumentando em sofisticação. Além de criptografar dados para paralisar os negócios, os hackers atuais muitas vezes extraem ou roubam dados confidenciais ou críticos para o negócio em troca de resgate. 

Felizmente, as ferramentas de análise de blockchain estão cada vez mais sendo utilizadas por autoridades e provedores de serviços de ativos virtuais (VASP, na sigla em inglês), empresas que fornecem serviços relacionados a criptoativos e corretoras de criptoativos, como a Coinbase, para monitorar transações e detectar padrões questionáveis ou reveladores relacionados a ataques de ransomware. Os profissionais da KPMG também estão implementando ferramentas de análise de blockchain para ajudar os clientes a rastrear o dinheiro.

O bitcoin atualmente é a criptomoeda mais usada em ataques e é considerada a mais detectável das criptomoedas, tornando mais fácil para as ferramentas de análise de blockchain rastrear as etapas realizadas por agentes mal-intencionados.

Os especialistas podem tirar vantagem do fato de que o bitcoin não é completamente anônimo, mas sim “pseudoanônimo”. Cada transação é visível no blockchain público do bitcoin e, embora os dados da transação não contenham informações sobre a verdadeira identidade de um remetente ou destinatário, os endereços de bitcoin podem fornecer pistas para identidades.

Os provedores de análises de blockchain agregam informações fora do blockchain — conhecidas como “dados fora da cadeia” — para identificar os remetentes e destinatários dos recursos. Para conseguir isso, a análise avalia os dados históricos do blockchain, combinados com o conhecimento de bons e maus agentes e demais técnicas para detectar padrões de transações. Isso possibilita identificar os endereços de blockchain de agentes ilícitos e fornece uma oportunidade crítica para rastrear recursos ilícitos.

A criptomoeda lavada normalmente chega — por meio de corretoras de criptomoedas — aos bancos, conforme os criminosos convertem a criptomoeda em moeda fiduciária. Em suas jornadas, os criminosos podem usar “mixers” ou corretoras não oficiais para cobrir seus rastros, misturando seus bitcoins com outros usuários para tornar a detecção mais difícil.

Os hackers também podem acessar plataformas peer-to-peer (P2P) e trocar criptomoedas com outras pessoas para evitar as autoridades. Os invasores ainda usam um padrão chamado “peel chain” para disfarçar fundos ilícitos, que consiste basicamente em uma cadeia de várias carteiras de bitcoins pelas quais os fundos provenientes de ataques de ransonware passam para esconder o rastro de criptomoedas obtidas ilegalmente. 

Felizmente, como podemos ver, as ferramentas de análise de blockchain — que são diferentes das técnicas e sistemas típicos de combate à lavagem de dinheiro — podem ajudar os VASPs e as autoridades a rastrear carteiras e transações de criptomoedas em busca de ligações com atividades ilícitas. Elas também fornecem pontuações de risco para os endereços com os quais os usuários estão interagindo, idealmente permitindo que eles identifiquem, gerenciem e mitiguem os riscos. Isso está ajudando as empresas a evitar que fundos ilícitos sejam lavados por meio dos seus sistemas, aumentando a possibilidade de detectar essa atividade e denunciá-la às autoridades.

Como já podemos observar, as ferramentas de blockchain impulsionam o progresso para tornar os ataques de ransomware menos atraentes. Os investigadores dos EUA conseguiram recuperar milhões pagos no ataque à Colonial Pipeline, mencionado acima. Poucos dias após o pagamento do resgate, a empresa de análise de blockchain Elliptic identificou a carteira de bitcoin que recebeu o dinheiro e observou que ela havia recebido pagamentos de bitcoin desde março. Embora a maioria destes pagamentos tenha sido movimentada, cerca de US$ 2 milhões permaneceram na mesma conta e foram apreendidos pelo FBI⁷.  

Os profissionais da KPMG estão aproveitando as ferramentas de análise de blockchain para ajudar os clientes a identificar o dinheiro sujo relacionado a um ataque de ransomware. Eles estão trabalhando em diferentes ações para apoiar os clientes neste contexto:

Uma pesquisa da Verizon indica que até 90% das campanhas de ransomware funcionam explorando vulnerabilidades conhecidas para obter o acesso inicial⁸.

Também é importante observar como o risco de terceiros está se tornando significativo. A troca de fornecedores no caso de um ataque, ou durante uma interrupção da cadeia de suprimentos relacionada à pandemia, costuma ser acelerada sem o rigor adequado, criando novas ameaças.

Esses desafios ganharam força em meio ao grande aumento na adoção de serviços em nuvem, que acompanha a tendência atual de trabalhar em casa. A tecnologia e as ferramentas em nuvem que fornecem acesso instantâneo às redes corporativas têm sido muito convenientes para as empresas, mas também para invasores potenciais.

Para piorar a situação, o “ransomware como serviço” está aumentando a eficiência de agentes mal-intencionados. Basicamente, alguém agrupa um conjunto de ferramentas utilizadas em um ataque, permitindo que os criminosos cibernéticos criptografem os dados secretamente dentro da organização comprometida e peçam o resgate para liberá-los.

Em última análise, após o ataque, as empresas devem abordar precisamente como um ataque ocorreu. No entanto, as empresas muitas vezes presumem que, uma vez que o resgate é pago, o problema está resolvido, quando, na verdade, os invasores costumam retornar com novas demandas de extorsão.

Também há a necessidade de as corretoras de criptomoedas implementarem controles adequados. Se os bitcoins obtidos por hackers vão para uma corretora, ela deve ter controles e medidas contra a lavagem de dinheiro em vigor para rastrear e, idealmente, identificar bitcoins ou outros criptoativos adquiridos ilegalmente. Os bancos e VASPs também devem aumentar as defesas e suas capacidades para evitar que o dinheiro de ataques de ransomware entre nas suas plataformas.

Idealmente, as organizações precisam melhorar todas as defesas nos diversos vetores de ataque que estão surgindo nas empresas remodeladas de hoje, para detectar problemas e evitar o risco de proliferação de ransomware nas redes comerciais. Os profissionais de segurança cibernética da KPMG estão trabalhando com os clientes com sucesso em vários setores para combater as ameaças atuais. Aqui estão algumas ações que recomendamos que as empresas tomem agora e no futuro para ajudar a melhorar a segurança, o gerenciamento de riscos e a resiliência cibernética:

• As empresas, corretoras e bancos devem implementar ferramentas de análise de blockchain e controles de combate à lavagem de dinheiro, adaptados para gerenciar os serviços e riscos de criptomoeda específicos de hoje·
• Avaliar os impactos potenciais e da perda de dados e sistemas para o  seu negócio, preparar um plano de ação de resposta e testá-lo.
• Atualizar o treinamento de conscientização sobre segurança e os recursos para o trabalho após a covid-19.
• Verificar a identidade, a autenticação e o acesso aos sistemas de TI.
• Verificar as capacidades de Detecção e Resposta de Endpoint (EDR, na sigla em inglês) e o que você pode registrar e monitorar.
• Verificar sua capacidade de resposta a incidentes e backups, e utilize um hacker ético para testar totalmente a sua resposta.

• Priorizar o desenvolvimento contínuo de defesas e contramedidas para enfrentar os riscos conforme os ataques custosos evoluem e se proliferam. Os bancos estão expostos conforme os clientes recebem moedas ilegais relacionadas a ataques de ransomware.
• Avaliar todas as mudanças tecnológicas em busca de erros em potencial e examinar os ambientes de trabalho remoto em busca de novas vulnerabilidades. Examinar como as mudanças no processo ou inovações tecnológicas podem aumentar o risco de uma ameaça interna. Incorporar a segurança em todos os processos de entrega de TI para ajudar a garantir que os erros e vulnerabilidades sejam resolvidos o mais rápido possível.
• Realizar um exercício baseado em um cenário que terá o maior impacto na sua organização. Implementar um programa de avaliações precisas e abrangentes que testará regularmente suas defesas e recursos de resposta contra ameaças e vetores relevantes.
• Entender exatamente o que a adoção e ampliação de serviços em nuvem significam em relação às responsabilidades de segurança compartilhadas.

Responder com sabedoria e proatividade à ameaça crescente de ransomware tornou-se fundamental para a continuidade dos negócios, e as empresas não podem mais perder tempo e devem buscar a melhoria de suas defesas e estratégias de resposta, pois essa tendência dispendiosa e potencialmente destrutiva continua.