A gigante do varejo Renner ficou mais de 24 horas com o seu site fora do ar após ter sido vítima de um grave ataque ransomware na quinta-feira (19).
A empresa confirmou ter sofrido o que chamou de “ataque cibernético criminoso”, mas se não comentou sobre o valor cobrado pelos hackers para devolver o acesso aos servidores.
As informações que circularam é que o ataque foi orquestrado pelo grupo RamsonMexx — o mesmo que atingiu a Embraer no final do ano passado — e afetou 1,3 mil servidores da varejista. Para devolver o acesso da empresa ao seu sistema, o pagamento de US$ 1 bilhão em criptomoedas foi exigido.
“A Renner tinha duas alternativas: ou pagava o resgate para conseguir a chave necessária para descriptografar todas as máquinas e voltava a operar imediatamente; ou não pagava e restabelecia um backup salvo máquina por máquina, o que pode demorar”, disse Claudio Bannwart, diretor regional da Check Point Software do Brasil, ao Portal do Bitcoin.
Na avaliação de Bannwart, o site seria a última coisa a voltar a funcionar já que a empresa deveria ter outras prioridades, como manter as lojas físicas operando, garantir a segurança dos dados dos clientes e descobrir a origem da exploração.
“Descobrir qual foi a primeira máquina infectada e qual era a brecha que ela tinha é importante porque se o malware continua dentro da rede, mesmo que você recupere o sistema, o vírus pode bloquear tudo outra vez”, afirmou.
Ao contrário de Bannwart, o especialista em segurança digital Arthur Igreja acredita que a empresa acabaria cedendo aos invasores.
“A Renner deve estar na mão dos hackers. O tempo está passando e a empresa está perdendo valor de mercado. Se ela tivesse uma capacidade de restabelecer rapidamente o backup dos servidores — o que não parece ter — até poderia cogitar não pagar. Sendo bem sincero, eu acho muito improvável”, disse.
Como a Renner foi invadida?
Claudio Bannwart explica que um ataque complexo como o que atingiu a Renner não acontece do dia para noite e deve estar sendo planejado há um bom tempo pelo grupo de hackers:
“Normalmente os malwares invadem computadores que não estão bem protegidos, enviando informações para um grupo de hackers, enquanto fazem um deslocamento lateral, infectando outras máquinas dentro da mesma rede até chegar nos servidores. Desse modo, eles disparam um gatilho que faz com que todas as máquinas sejam criptografadas ao mesmo tempo”.
De acordo com Arthur Igreja, esse tipo de ataque se aproveita de funcionários mal treinados ou com hábitos ruins de segurança. “O sistema é tão seguro quanto o seu ponto mais frágil. Fazendo uma comparação como se fosse um presídio, você pode ter uma torre super alta, arame farpado, câmeras, mas se você tem um buraquinho no muro, todo o sistema de segurança desmorona”.
Na mira da LGPD
A Renner se tornou a primeira grande empresa a sofrer um ataque ransomware desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor no Brasil no dia 1º de agosto.
Os especialistas avaliam que dependendo da forma como a Renner se comporte durante essa crise, pode sofrer graves punições da lei, como multas que chegam a 2% da receita da empresa.
“Com a LPGD e suas punições em vigor e a importância que a empresa tem por lidar com um grande número de informações dos clientes, eu não tenho dúvida nenhuma de que vai ser aberta uma investigação e de que as multas poderão ser muito pesadas”, disse Igreja.
Segundo ele, a Renner pode ser punida mesmo que seus dados não sejam vazados na Deep Web — como aconteceu no ano passado com a Embraer, que se negou a pagar o resgate —, uma vez que a LGPD fiscaliza as boas práticas de proteção e gestão de dados.
Para Bannwart, os invasores miram as grandes companhias para aplicar uma dupla extorsão: “eles não negociam apenas o resgate do sistema, mas principalmente os dados capturados”.