20/12/2021 - 22:30
O ano de 2021 foi de consolidação das ameaças em relação a ataques cibernéticos: nunca foram tão frequentes, impactantes e sofisticados. Houve vazamento de informações sigilosas, sequestro de dados, invasões de sistemas e muito dinheiro perdido.
Segundo a consultoria alemã Roland Berger, o Brasil foi o 5º país que mais sofreu crimes cibernéticos neste ano: apenas no primeiro trimeste houve um total de 9,1 milhões de ocorrências, mais que o ano inteiro de 2020.
+ Entenda por que tantos sites do governo sofreram ataques cibernéticos
+ Governo apura se ataques cibernéticos foram feitos por servidores públicos
A empresa estima que as perdas globais possam chegar a U$ 6 trilhões neste ano, o triplo do Produto Interno Bruto (PIB) brasileiro.
Já a empresa holandesa de cibersegurança Surfshark divulgou que o Brasil foi o sexto país mais atingido por vazamentos de dados no ano: foram 24,2 milhões de usuários expostos entre janeiro e novembro deste ano. A Surfshark estima que 1 em cada 5 pessoas em todo o mundo teve dados vazados em 2021.
Retrospectiva ataques cibernéticos 2021:
Vazamento de dados
Já no primeiro mês do ano um mega vazamento expôs os dados de 223 milhões de brasileiros, mais que a população brasileira (212 milhões) porque incluía falecidos. Entre as informações, comercializadas na dark web, estavam CPF, RG, nome, data de nascimento, veículos e CNPJs, endereços, fotos, escolaridade e renda.
Há interesse de criminosos da aquisição de dados para a elaboração de golpes e fraudes digitais, como “phishing” (e-mails, WhatsApp e até SMS com links maliciosos). No entanto, como eram muitos dados, eles também poderiam ser utilizado em diversos tipos de fraudes.
A Polícia Federal prendeu hackers suspeitos de venderem as informações pessoais em 19 de março. Foram presos Marcos Roberto Correia da Silva e Yuri Batista Novaes. Não se sabe de onde os dados foram extraídos.
Facebook
Em abril, um vazamento de dados do Facebook atingiu 8 milhões de brasileiros de um total de 533 milhões de contas da rede social em todo o mundo. Entre as informações estavam e-mails, telefone, perfis de rede social, geolocalização e registros profissionais. Conforme o Facebok, as informações eram de 2019 e o vazamento foi fruto de uma falha m uma API, Interface de Programação de Aplicativos na sigla em inglês.
JBS
Em maio, uma subsidiária da JBS nos Estados Unidos informou que pagou U$ 11 milhões em resgate após um ransomware (sequestro digital). A empresa sofreu ataques cibernéticos em suas unidades nos EUA, Canadá e Austrália. O crime é investigado pela polícia federal americana, o FBI, que afirmou que o ataque teve origem em um grupo cibercriminoso russo, o REvil (conhecido também como Sodinokibi).
Renner
Em agosto, o site oficial da Lojas Renner sofreu um ransomware. A empresa disse que não houve vazamento de dados pessoais de seus clientes e alegou que não pagou qualquer valor pelo resgate.
CVC
Em outro ransomware, os sistemas da agência de turismo CVC foram sequestrados e deixou passageiros com dificuldades no momento da viagem. O ataque teria sido feito a partir de informações de acesso de funcionários que teria sido vazadas no final de agosto, embora a tese não tenha sido confirmada pela empresa.
A CVC declarou que não houve nenhum vazamento de informações internas ou de clientes e parceiros, mas estimou um prejuízo de R$ 30 milhões por dia de interrupção de seus serviços.
Atento
Em outubro, a empresa de serviços de atendimento e call center Atento foi outra vítima de ransomware, que travou os sistemas e prejudicou o trabalho de seus clientes, como bancos, planos de saúde, plataformas de delivery e até companhias aéreas.
Como não teria pago o resgate exigido pelo grupo Lockbit, os dados corporativos e de executivos da empresa foram divulgados. Dados pessoais dos clientes não teriam sido expostos.
IFood
Dias depois do ataque à Atento, em 2 de novembro, o IFood sofreu um ataque que desfigurou o nome dos estabelecimentos comerciais cadastrados. No lugar, mensagens políticas, que criticavam as vacinas e enalteciam o presidente Jair Bolsonaro (sem partido) foram imputadas. Por exemplo: o China in Box virou “Lula Ladrao 30”.
A empresa declarou que houve um ataque à conta de um funcionário de atendimento que tinha acesso ao sistema alterou 6% dos estabelecimentos comerciais registrados. Não houve exposição de informações de clientes. O IFood ainda foi multado em R$ 1,5 milhão pelo Procon do Rio de Janeiro.
Sites do governo
Em uma série de ataques ocorridos a partir de dezembro segue em investigação, criminosos invadiram sites do Sistema Único de Saúde (SUS), Conecte SUS (responsável pelos dados de vacinação da população brasileira), Polícia Rodoviária Federal, Ministério da Economia, Controladoria Geral da União (CGU) e Instituto Federal do Paraná.
O Ministério da Saúde disse que reestabeleceu os sistemas e os dados vacinais da população. A Polícia Federal especula que o ataque tenha partido das credenciais de um funcionário com acesso ao sistema do governo, que reúne todos os sites invadidos. Não houve a confirmação de sequestro, como os criminosos deram a entender, nem o pagamento de resgate.
