Retrospectiva 2022: os ataques que abalaram a cibersegurança no País

Daqui uma semana, 2022 sairá de cena e ficará marcado por ser um dos anos mais aquecidos e desafiadores vividos pelo setor de Segurança da Informação. Os ataques cibernéticos não pouparam ninguém, pelo contrário, os cibercriminosos afetaram diversos segmentos. Equipes de Segurança enfrentaram cenários de crises e o fator pandemia ainda trouxe uma complexidade extra, com as equipes trabalhando em casa e acessando ambientes corporativos remotamente.

Diante disso, a Security Report destaca uma retrospectiva de 2022, relembrando os incidentes cibernéticos reportados ao longo deste ano com grandes impactos nas operações em diferentes segmentos de negócio.

Varejo

Sites da Americanas e do Submarino, que pertencem ao grupo Americanas S.A, ficaram fora do ar após instabilidades e registro de acesso não autorizado. Na ocasião, ao acessar os sites das lojas, uma mensagem aparecia indicando a indisponibilidade de serviço devido a uma falha de DNS.

Em nota divulgada na época do ocorrido, a companhia explicou que suspendeu parte dos servidores do ambiente de e-commerce, acionando os protocolos de resposta assim que identificou o acesso não autorizado. A autoria do ataque foi do grupo de cibercriminosos Lapsus, o mesmo que invadiu o Ministério da Saúde, Localiza e outras instituições.

O incidente gerou grande repercussão no mercado e os CISOs da Comunidade Security Leaders, por exemplo, chamaram atenção para o tamanho do impacto de um ataque cibernético no setor, enfatizando que, em um cenário de crise como esse, a união faz a força. Até porque, todos já sabem que não existe segurança 100% e que os mais variados setores estão na mira do cibercrime.

Ainda sobre o caso envolvendo a Americanas, segundo um relatório financeiro divulgado pela companhia, a perda em vendas foi R$ 923 milhões durante período em que a varejista ficou impactada pelo incidente.

Outro acesso não autorizado atingiu a Fast Shop. Ocorrido em junho deste ano, a empresa informou uma tentativa de ataque cibernético e que os cibercriminosos teriam conseguido acessar os serviços de nuvem da AWS, AZURE, IBM, GITLAB. O impacto foi tão grande que a varejista anunciou o fechamento das lojas e o adiamento de todos os pedidos online.

Ainda na época, o próprio perfil da Fast Shop virou alvo dos cibercriminosos, que usaram a conta para divulgar o incidente e dizer que estavam abertos à negociação, caso contrário, poderiam vazar informações de códigos-fonte e de usuários e corporativos. O que posteriormente não aconteceu, os sistemas afetados foram restabelecidos e a operação do site normalizada.

Educação

Durante a pandemia da COVID-19, um dos setores que correu contra o tempo foi o educacional, precisando colocar alunos e professores no modelo on-line. Por conta disso, os cibercriminosos direcionaram ações mal-intencionadas contra instituições educacionais, em muitos casos, gerando interrupções e indisponibilidades.

No dia 18 de março, os sites do Grupo Marista ficaram fora do ar após sofrer um ataque cibernético. Ao acessar o portal, os usuários se deparavam com uma mensagem informando que parte dos sistemas operacionais estavam indisponíveis e que o Grupo seguia trabalhando para o restabelecimento.

O Grupo detém marcas como PUCPR, Colégios Maristas, Hospital Marcelino Champagnat, Hospital Cajuru e Centro Marista de Defesa da Infância. A PUCPR, por exemplo, publicou um comunicado informando que, por questões de segurança, os sistemas operacionais, assim como o acesso à rede, ficaram temporariamente indisponíveis e ressaltou que as equipes seguiram trabalhando para solucionar e restabelecer a situação à normalidade o mais breve possível.

Posteriormente, uma investigação profunda descartou qualquer evidência de acesso e exposição de dados. “Os serviços educacionais e a assistência à saúde, assim como o dia a dia de nossos colaboradores, seguem acontecendo com as adaptações necessárias para o momento, sem prejuízo ao atendimento”, explicou o Grupo Marista no período em questão.

Já no mês seguinte, em abril, a ESMPU, Escola Superior do Ministério Público da União, anunciou que foi vítima de um ataque hacker em seus computadores, permitindo a criptografia de dados ao serem ligados. A instituição afirmou ao mercado que, por questões de segurança e garantia que os sistemas estejam livres de malwares, os responsáveis pela operação recomendaram que todas as máquinas passassem por uma dupla checagem antes de serem liberados ao acesso de usuários.

Governo

O setor governamental foi o recordista de casos presente no Painel de Incidente na Security Report. Isso mostra o quanto os órgãos públicos seguem cada vez mais na mira dos cibercriminosos. Só em 2022, a Security Report noticiou mais de 15 casos envolvendo os Governos de vários estados do Brasil, Prefeituras, Justiça Federal, Sefaz, Tribunais de Justiça, Câmaras Municipais e Tribunais de Contas.

Um deles e de grande repercussão, ocorreu em agosto, quando a Prefeitura do Rio de Janeiro sofreu um incidente cibernético em seu datacenter, tirando vários serviços municipais do ar. Segundo informações, para evitar novos danos, os sistemas fazendários, responsáveis por serviços como Portal Carioca Digital e Nota Carioca, foram suspensos. A equipe da IplanRio (Empresa Municipal de Informática) seguiu trabalhando para normalizar o sistema com segurança.

O setor da saúde teve alguns de seus serviços indisponíveis por conta do incidente no órgão carioca. A Secretaria Municipal de Saúde da cidade chegou a cancelar o atendimento aos pacientes, já que ficou impossibilitada de realizar a inserção de pedidos de exames e consultas nos sistemas, bem como o painel de Covid-19 que teve a captura de seus dados afetada. No setor de educação, as aulas na rede municipal de ensino não chegaram a ser suspensas.

Em vídeo publicado nas redes sociais, o Prefeito do Rio de Janeiro, Eduardo Paes, afirmou que o cibercriminoso responsável pela ação tentou roubar dados sigilosos do governo. Paes, comentou ainda que os trabalhos seguem para que os sistemas voltem à normalidade. O Prefeito reforçou ainda, no período do ocorrido, que o crime cibernético foi registrado na Delegacia de Repressão aos Crimes de Informática (DRCI) para que o responsável seja identificado.

Veja a relação completa envolvendo esse setor no Painel de Incidente 2022.

Finanças

O segmento de Finanças no Brasil é um dos mais maduros no tema Segurança Cibernética. São anos investindo em tecnologia e sofisticação para driblar fraudes e golpes bancários. Conforme a transformação digital avança e mais brasileiros são introduzidos ao ambiente digital, as instituições seguem com campanhas de conscientização e alertam a sociedade sobre a importância de assegurar as transações. Por outro lado, apesar da maturidade elevada nesse ecossistema, algumas instituições não escaparam das ações maliciosas.

Um fornecedor de tecnologia do Banco PAN sofreu acesso não autorizado no dia 15 de março, o que causou uma exploração de vulnerabilidade que permitiu a cópia de dados cadastrais dos clientes. Em nota enviada para a redação da Security Report na época, a instituição financeira ressaltou que a apuração do caso está em curso e que todas as autoridades competentes foram notificadas.

A fragilidade em questão foi identificada na plataforma de um parceiro do Banco PAN, que presta serviços na Central de Atendimento. A exploração de dados comprometeu também o limite disponível de cartões e saldo devedor de fatura dos clientes.

No segundo semestre deste ano, o Banco Central comunicou o vazamento de dados vinculados a 137.285 chaves Pix, atreladas à empresa Abastece Aí, responsável por oferecer um sistema de carteira digital com cashback para pagamentos. O incidente ocorreu entre os dias 1º de julho e 14 de setembro e envolveu dados como nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta e data de criação da chave Pix.

O Banco Central chegou a garantir que não foram expostos dados sensíveis como senhas, informações de movimentações e saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. Na ocasião, segundo um comunicado, as informações obtidas foram de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.

Saúde

O setor de saúde também virou alvo frequente dos cibercriminosos, como por exemplo, a Unimed Belém, que sofreu tentativas de ataques cibernéticos em seus sistemas operacionais. Em posicionamento, a companhia explicou que após a identificação do incidente, as equipes de controle adotaram medidas para impedir o avanço da iniciativa maliciosa.

“A cooperativa informa que ainda não possui total conhecimento sobre a extensão do ocorrido, contudo, esclarece que, além da devida assessoria jurídica e técnica para conter o problema, foram adotadas medidas para manter seguros os servidores e backups”, dizia nota divulgada sobre o incidente, ocorrido em outubro de 2022.

Um mês antes, a Golden Cross, empresa do setor de saúde suplementar no Brasil, sofreu grandes impactos em seus sistemas. A companhia ressaltou que os serviços, como medida preventiva, foram interrompidos e ficaram em funcionamento em regime de contingência.

Alguns dias depois, o caso ganhou novos capítulos, uma mensagem do cibercriminoso responsável pelo ataque no site da Golden Cross chamou a atenção. “Fomos nós que vazamos todos os dados da Golden Cross para nossos servidores. Sim, é verdade, o vazamento de dados não autorizado foi realizado”, afirmava a mensagem. O conteúdo ainda chegou a destacar que os dados pessoais dos clientes seriam divulgados ao público.

No dia 21 de setembro, a empresa confirmou a invasão cibernética em seu portal. De acordo com nota divulgada, foram identificadas alterações indevidas nos domínios de direcionamento do site, mas que foram bloqueadas junto ao órgão responsável. A operadora de saúde afirmou ainda que as alterações não viabilizaram acesso aos bancos de dados e que não há evidências de exposição pública de dados pessoais.

Uma consultoria externa especializada (PwC) apoiou nas investigações e na adoção de medidas para estabilização do ambiente tecnológico. As autoridades competentes também foram devidamente informadas sobre o caso. Posteriormente, os sistemas foram normalizados.

Mídia e Comunicação

Além das principais verticais do mercado, o segmento de mídia e comunicação foi atingido nos últimos meses deste ano. É o caso do Grupo Jaime Câmara, responsável pela TV Anhanguera, afiliada da Globo em Goiás e Tocantins, um ataque cibernético em seus sistemas afetou a qualidade dos conteúdos ou até mesmo a indisponibilidade total, como no caso de algumas rádios ou sites de jornais.

Na época, a TV Anhanguera explicou que os dados dos clientes e usuários são protegidos por criptografia e, portanto, não havia risco de vazamento e ressaltou que o dano do ataque limitou-se à restrição do acesso aos nossos sistemas. As equipes da afiliada trabalharam para garantir a continuidade e o restabelecimento integral de todos os serviços e produtos, após o incidente.

Uma das principais emissoras do País, a Record TV também não ficou de fora, um ataque cibernético obrigou a TV a encerrar sua programação ao vivo antes do previsto. Na ocasião, o jornal Fala Brasil estava no ar quando o sistema foi invadido pelos cibercriminosos e o informativo precisou ser interrompido, sendo substituído pela série Todo Mundo Odeia o Chris.

Devido ao incidente, os funcionários tiveram que correr contra o tempo para assegurar a exibição dos programas no dia seguinte. A revista eletrônica Domingo Espetacular foi um dos casos, a equipe precisou montar uma operação de guerra para entrar no ar, o jornalístico teve parte do trabalho salvo na última hora. O programa Hora do Faro só conseguiu mostrar uma entrevista gravada porque a edição foi feita em uma produtora usada às pressas

Embora não tenha se pronunciado oficialmente ao mercado, a Record TV se explicou um mês após o incidente em um comunicado interno aos funcionários sobre a situação. Segundo conteúdo enviado por e-mail aos colaboradores, a emissora afirmou que houve criptografia de máquinas e servidores do ambiente tecnológico, afetando parte das atividades. Além disso, ressaltou que após a identificação do incidente, os protocolos de segurança foram ativados e medidas para minimizar os efeitos e riscos do ocorrido foram aplicadas.

Ainda de acordo com comunicado enviado pelo departamento de Recursos Humanos e assinado pela área de governança e proteção de dados, a emissora informou à ANPD (Autoridade Nacional de Proteção de Dados) sobre o evento e acionou uma consultoria externa especializada para investigar as causas, extensão e consequências do ataque cibernético.

Painel de Incidentes

O infográfico Painel de Ataques Cibernéticos é um mapa permanente da Security Report tem atualizado de acordo com os vazamentos e incidentes que impactam as empresas brasileiras. Desde o início de janeiro de 2021, ele mostra a evolução dos principais ataques e vazamentos cibernéticos reportados por empresas públicas e privadas brasileiras ou que atuem no País, além dos desdobramentos dos casos.

O infográfico Painel de Ataques Cibernéticos é um mapa permanente produzido pela equipe da Security Report e a atualização acontece de acordo com os vazamentos e incidentes que impactam as empresas brasileiras.

O objetivo é acompanhar os principais incidentes cibernéticos notificados por fontes oficiais da empresa, com informações obtidas pelas áreas de Marketing, Comunicação, Jurídico ou qualquer outra que se pronuncie em nome da organização.

Temos uma Lei Geral de Proteção de Dados em vigor e as organizações precisam amadurecer os seus modelos e saber que reportar incidentes cibernéticos é uma obrigatoriedade. Dessa forma, nossa equipe estará atenta a toda e qualquer notificação, mas também estamos abertos a informações advindas de nossa comunidade e de todos aqueles que estejam dispostos a colaborar com a intenção de compartilhar informação e, com isso, contribuir para elevar o nível de maturidade da segurança cibernética no País.