Os cartórios extrajudiciais são responsáveis pela prestação de serviços essenciais à sociedade. O cartório dá publicidade e segurança aos negócios e aos atos jurídicos praticados pelos cidadãos. A aquisição de bens e direitos acontece por meio dos registros e lavraturas realizados nos cartórios e são eles os responsáveis pela guarda e preservação dessa informação.
Há pouco tempo atrás, toda essa informação estava gravada apenas no papel, e a única forma de acesso possível era o físico (livros). Nesse meio, era muito mais fácil proteger a informação de acessos indevidos, mas, lidar com o aumento significativo da quantidade de informação, com as crescentes exigências de acesso rápido e com baixo custo tornou-se impraticável.
O cenário mudou com a chegada da informatização aos cartórios extrajudiciais. Os primeiros sistemas planejados para cartórios surgiram com vantagens e benefícios inegáveis. O atendimento ao público tornou-se mais ágil e, com o tempo, o custo de armazenar as informações em meios eletrônicos diminuiu consideravelmente. A oferta de espaço aumentou e agora é possível ter todo o acervo do cartório em formato eletrônico e a informação disponível na ponta dos dedos. A era da informação chegou e com ela algo inimaginável: o sequestro de dados.
As primeiras notícias sobre esse tipo de sequestro datam de 1986. Um vírus chamado PC Cyborg [1] que cifrava os arquivos de inicialização dos computadores impedindo sua utilização.
Anos mais tarde, em maio de 2005, surge o RANSOWARE e os primeiros casos de extorsão são relatados. Agora os dados dos usuários eram criptografados e um resgate era solicitado.
Em 2006 os ataques começaram a ficar mais sofisticados. As chaves criptográficas utilizadas aumentaram de tamanho tornando a recuperação dos arquivos muito mais difícil.
Em 2011 esse tipo de ataque ganha novas formas de proliferação e, em 2013, os primeiros dispositivos que utilizam o Mac OS-X são infectados. O RANSOWARE chega definitivamente ao mercado de massa e chama a atenção do US-CERT [2] departamento responsável pela segurança interna dos Estados Unidos da América (EUA).
Em 21 de março de 2013, um informativo, que pode ser acessado por meio desse link [3], mostrou um aumento significativo nos relatos de usuários que alegavam ter tido suas informações sequestradas, ou seja, seus dados foram alvo de um ataque que criptografava e não permitia a utilização sem o pagamento de um resgate.
Em 05 de novembro de 2013 o US-CERT publicou o alerta TA13-309A [4] mostrando que uma nova e poderosa variante de RANSOWARE chamada CRYPTOLOCKER estava causando danos aos usuários americanos e emitiu uma série de recomendações para proteção, aconselhando aos usuários que informassem o incidente ao FBI.
Nos últimos quatro meses de 2013 mais de 5 milhões de dólares foram roubados por meio do CRYPTOLOCKER [5]
Em maio de 2014 o FBI e a INTERPOL, por meio da operação TOVAR [6] informou que uma das principais redes que distribuíram esse novo tipo de RANSOWARE havia sido desativada. Essa rede era composta por mais de 1 milhão de computadores espalhados pelo mundo utilizados para espalhar esse tipo de ataque.
O prejuízo no ano de 2014 foi de mais de 100 milhões de dólares.
Em 2015 o número de variantes do CRYPTOLOCKER cresceu assustadoramente. No ano seguinte mais de 62 novas famílias diferentes foram detectadas pela Kaspersky, segundo o Boletim de Segurança 2016 – A evolução do RANSOWARE [7].
Mas, como acontece a infecção dos computadores com essa praga virtual? Por que as formas de proteção atuais não conseguem bloquear esse tipo de ataque e manter os cartórios protegidos?
Como vimos, os ganhos obtidos com essa prática são significativos. Estima-se que metade das empresas americanas já foi afetada por esse tipo de ataque. No Brasil não há estatísticas oficiais e, especificamente nos cartórios extrajudiciais, a SiplanControl-M já atuou em dezenas de casos desse tipo, sendo que em grande parte deles a rede possuía firewall (equipamento e/ou software que filtra o tráfego de dados da rede) e um antivírus, mas mesmo assim foram infectados. Como isso pode acontecer?
Uma das principais causas é o ataque chamado de Zero Day. Nesse tipo de ataque os cibercriminosos tomam conhecimento de uma vulnerabilidade anunciada pelos fabricantes de softwares e utilizam seus recursos técnicos para criar formas de ataque capazes de explorar essas vulnerabilidades, de modo a enganar os firewalls e antivírus. Afinal, essa vulnerabilidade foi anunciada e ainda não há correção disponível. A situação ideal então surge e campanhas específicas de SPAM são utilizadas para espalhar esse ataque. O que acontece em seguida é ainda mais sofisticado.
Os usuários recebem um e-mail muito bem preparado para enganá-lo, geralmente em seu próprio idioma e que trata de um assunto relevante do seu dia-a-dia. Sem saber que está sendo atacado, o usuário abre o e-mail, que geralmente possui um anexo ou um link e o computador é finalmente infectado.
Em pouco tempo o computador infectado estabelece comunicação externa com outros computadores e inicia o download de códigos maliciosos que passam a monitorar o comportamento e uso da máquina, da rede e, em pouco tempo, é possível infectar os backups e servidores, lançando assim o ataque final, criptografando os dados e exigindo o resgate.
Nesse meio tempo, nem o firewall e nem o antivírus sabem o que está acontecendo, principalmente porque toda essa troca de informações foi feita de forma criptografada.
Fica evidente que um dos pontos mais vulneráveis na segurança atualmente utilizada nos cartórios é o firewall. As informações que entram e saem da rede, pela internet, não passam por um controle ou verificação em tempo real e adequado e isso é o que tem permitido que muitos ataques tenham sucesso. Quando um ataque é bem-sucedido, o atendimento é paralisado e o público sendo o maior prejudicado.
Leia nesse link uma notícia sobre um cartório que passou por isso [8].
Enfrentar essas ameaças requer uma mudança na forma de proteção atualmente utilizada. A maioria dos firewalls atuais não possui a “inteligência” e “musculatura” necessárias para analisar toda essa comunicação em tempo real. Trocar esses equipamentos por firewalls de nova geração é o primeiro passo. Conscientizar seus colaboradores é o passo seguinte, e as empresas de tecnologia parceiras dos cartórios que detenham especialização em segurança de dados podem ajudar em todos os passos necessários nessa caminhada.
Notas:
[1] https://en.wikipedia.org/wiki/AIDS_(Trojan_horse)
[2] https://www.us-cert.gov/
[3] https://www.us-cert.gov/ncas/current-activity/2013/03/21/Recent-Reports-DHS-themed-Ransomware
[4] https://www.us-cert.gov/ncas/alerts/TA13-309A
[5] https://www.nomoreransom.org/pt/ransomware-qa.html
[6] https://www.fbi.gov/news/stories/gameover-zeus-botnet-disrupted
[7] https://securelist.com/analysis/kaspersky-security-bulletin/76757/kaspersky-security-bulletin-2016-story-of-the-year/
[8] http://www.portalesperafeliz.com.br/noticias/cartorio-de-espera-feliz-tem-dados-do-computador-sequestrados/
*O autor atua há mais de 28 anos com Tecnologia da Informação sendo 21 deles especificamente para os cartórios extrajudiciais. É certificado por fabricantes como DELL, SONICWALL e MICROSOFT e palestrante da SiplanControl-M para assuntos de segurança e tecnologia.