A história não contada de um ataque de ransomware incapacitante

Mais de dois anos atrás, criminosos paralisaram os sistemas do Hackney Council de Londres. Ainda está lutando para se recuperar.

Foi um domingo de manhã, em meados de outubro de 2020, quando Rob Miller ouviu pela primeira vez que havia um problema. Os bancos de dados e sistemas de TI do Hackney Council, no leste de Londres, estavam sofrendo com interrupções. Na época, o Reino Unido estava entrando em sua segunda onda mortal da pandemia de coronavírus, com milhões vivendo sob restrições de bloqueio e a vida normal severamente interrompida. Mas para Miller, diretor estratégico do poder público, as coisas estavam prestes a piorar. “Na hora do almoço, ficou claro que era mais do que apenas uma questão técnica”, diz Miller. 

Dois dias depois, os líderes do Hackney Council – que é uma das 32 autoridades locais de Londres e responsável pela vida de mais de 250.000 pessoas – revelaram que haviam sido  atingidos por um ataque cibernético . Hackers criminosos implantaram ransomware que prejudicou gravemente seus sistemas, limitando a capacidade do conselho de cuidar das pessoas que dependem dele. A gangue do ransomware Pysa mais tarde reivindicou a responsabilidade pelo ataque e, semanas depois, alegou estar publicando  dados que roubou do conselho .

Hoje, mais de dois anos depois, o Hackney Council ainda está lidando com as consequências colossais do ataque de ransomware. Por cerca de um ano, muitos serviços municipais não estavam disponíveis. Sistemas de conselho cruciais – incluindo pagamentos de benefícios de moradia e serviços de assistência social – não estavam funcionando adequadamente. Embora seus serviços estejam de volta e funcionando, partes do conselho ainda não estão operando como estavam antes do ataque.

Uma análise WIRED de dezenas de reuniões, atas e documentos do conselho revela a escala de perturbação que o ransomware causou ao conselho e, crucialmente, aos milhares de pessoas que ele atende. A saúde das pessoas, as condições de moradia e as finanças sofreram como resultado do ataque do grupo criminoso insidioso. O ataque contra Hackney se destaca não apenas por sua gravidade, mas também pelo tempo que levou para a organização se recuperar e ajudar as pessoas necessitadas.Exigências de resgate

Você pode pensar nos governos locais como máquinas complexas. Eles são formados por milhares de pessoas executando centenas de serviços que tocam quase todas as partes da vida de uma pessoa. A maior parte desse trabalho passa despercebido até que algo dê errado. Para Hackney, o ataque de ransomware paralisou a máquina. 

Entre as centenas de serviços que o Conselho de Hackney oferece estão assistência social e infantil, coleta de lixo, pagamentos de benefícios a pessoas que precisam de apoio financeiro e moradia pública. Muitos desses serviços são executados usando sistemas e serviços técnicos internos. De muitas maneiras, eles podem ser considerados infraestrutura crítica, tornando o Hackney Council semelhante a hospitais ou fornecedores de energia.

“Os ataques contra organizações do setor público, como conselhos locais, escolas ou universidades, são bastante poderosos”, diz Jamie MacColl, pesquisador de segurança cibernética e ameaças do think tank RUSI que está pesquisando o impacto social do ransomware. “Não é como as redes de energia caindo ou como o abastecimento de água sendo interrompido… mas são coisas que são cruciais para a existência do dia-a-dia.”

Todos os sistemas hospedados nos servidores de Hackney foram afetados, disse Miller aos conselheiros em uma reunião pública avaliando o ataque de ransomware em 2022. Assistência social, benefícios habitacionais, impostos municipais, taxas comerciais e serviços habitacionais foram alguns dos mais afetados. Bancos de dados e registros não estavam acessíveis – o conselho não pagou nenhum pedido de resgate. “A maioria dos nossos dados e nossos sistemas de TI que estavam criando esses dados não estavam disponíveis, o que realmente teve um impacto devastador nos serviços que pudemos fornecer, mas também no trabalho que fazemos”, Lisa Stidle, responsável pela análise de dados e insights gerente do Hackney Council,  disse em uma palestra sobre a recuperação do conselho no ano passado.

Uma pessoa com deficiência em Hackney, que pediu para não ser identificada por motivos de privacidade, diz que se inscreveu para assistência social no final de junho de 2021 – oito meses após o primeiro ataque cibernético – mas não conseguiu um plano de assistência ou visitas de cuidadores até fevereiro de 2022. “Eu não conseguia me lavar. Eu não conseguia lavar meu próprio cabelo”, dizem. “E o motivo desse atraso, eles me disseram repetidamente, foi o hack.” A pessoa lembra que quando teve a primeira resposta do conselho, meses depois de entrar em contato inicialmente, o trabalhador com quem falaram ficou aliviado por ainda estarem vivos, pois sua situação não havia sido esclarecida e havia um atraso no caso.

Desde o ataque de ransomware, os residentes de Hackney disseram a conselhos de reclamações independentes como sofreram. Em um ponto durante o rescaldo do ataque cibernético e da pandemia em andamento, Hackney tinha um acúmulo de cerca de  7.000 reparos domésticos. Um relatório do Provedor de Habitação de maio de 2022 disse que Hackney foi responsável por “grave má administração” levando a “atrasos substanciais” ao lidar com “umidade, mofo e vazamentos” na casa de uma pessoa. Embora Hackney tenha perdido seus registros no ataque cibernético, o ombudsman disse que o conselho não fez esforços suficientes para verificar e-mails (que ainda estavam disponíveis) ou entrevistar funcionários sobre o caso. (O ataque “impactou nossa capacidade de recuperar nossos dados de gerenciamento e reparos habitacionais, bem como registros históricos e, infelizmente, impediu nossa capacidade de investigar a reclamação do morador”, disse o conselho.) 

O conselho também foi criticado porque seu sistema de denúncia de ruído  não estava funcionando. Houve um  acúmulo de pagamentos de impostos municipais. Também não foi possível investigar adequadamente as reclamações das pessoas, pois  os registros não estavam disponíveis. A perda de registros habitacionais e de correspondência das pessoas levou a um “grande número” de reclamações ao conselho nos primeiros meses após os ataques, de acordo com  relatórios do conselho. Em um caso, um morador não conseguia  usar sua cozinha há mais de um ano, e o trabalho foi parcialmente adiado porque o ataque cibernético tornou as plantas do prédio inacessíveis. E em julho de 2022,  ITV News relatou uma família de sete pessoas que mora em Hackney foi forçada a deixar sua casa porque o conselho não conseguiu atualizar seus pagamentos de benefícios habitacionais.

O Conselho de Hackney e Philip Glanville, prefeito de Hackney, pediram desculpas pelo impacto que o ataque teve sobre os residentes. Em resposta às decisões da Ouvidoria, o conselho diz que aceita as conclusões e pede desculpas a “todos aqueles que foram afetados como resultado da ação criminal que nos deixou incapazes de ajudar alguns dos mais vulneráveis ​​em nosso município”.

Miller diz que o impacto devastador do ataque destaca quantos “serviços críticos” o conselho opera e a natureza perigosa dos ataques de ransomware. “Todas as coisas que fazemos são importantes para alguém”, diz ele. “Mas algumas das coisas são realmente muito agudas.” Ele diz que o conselho priorizou casos de alto risco durante sua recuperação do ataque, mas que o impacto ainda foi amplo. “Com o tempo, o número de moradores afetados diminuiu. Mas se você é um residente afetado, isso não importa.” 

Desde que o ransomware atingiu o Hackney Council, ele se recusou a comentar os aspectos técnicos do incidente, citando investigações em andamento da Agência Nacional de Crimes do Reino Unido e do regulador de dados, o Information Commissioner’s Office (ICO), que poderia  potencialmente multar a organização . A ICO diz que sua investigação está em andamento e não forneceu um cronograma para a conclusão. 

Hackers criminosos frequentemente atacam governos locais e organizações públicas nos últimos anos. Hospitais e prestadores de cuidados médicos ,  governos municipais e  governos nacionais inteiros foram atacados por gangues de ransomware implacáveis. Eleanor Fairford, vice-diretora de gerenciamento de incidentes do Centro Nacional de Segurança Cibernética do Reino Unido, que faz parte da agência de inteligência GCHQ e ajudou Hackney, diz que o ransomware é a ameaça “mais significativa” para serviços públicos e empresas. 

“Os incidentes podem afetar todos os aspectos de uma organização – desde impedir sua capacidade de entregar operações importantes até atingir as finanças – e os efeitos são sentidos a curto e longo prazo”, diz Fairford, apontando para sua  orientação sobre proteção contra ransomware . O ataque cibernético custou a Hackney  pelo menos £ 12 milhões (US$ 14,8 milhões), com vários de seus serviços relatando gastos excessivos no orçamento para corrigir problemas.

Lizzie Cookson, diretora de resposta a incidentes da empresa de recuperação de ransomware Coveware, diz que nos últimos três meses do ano passado, as vítimas de ransomware do setor público representaram 13% das vítimas. “Isso é muito alto”, diz Cookson, acrescentando que os serviços públicos geralmente são subfinanciados e carentes de recursos. Ataques contra o setor podem causar danos incalculáveis ​​à sociedade, com danos sentidos por milhares ao longo de meses e anos. Miller diz que o impacto em Hackney mostra como os ataques de ransomware podem ser “venenosos”. “É fácil presumir que não tem rosto e realmente não tem um grande impacto”, diz ele. “Mas tem aquele impacto humano.” 

Além do impacto nos residentes de Hackney, o ataque cibernético afetou naturalmente a equipe da organização. Centenas de funcionários do Hackney Council tiveram que trabalhar durante a interrupção, tentando ajudar as pessoas, apesar do pouco ou nenhum acesso a bancos de dados e arquivos de casos. “Quando ocorre um incidente como esse, pode causar muito estresse, ansiedade e transtorno para as pessoas envolvidas”, diz Jessica Barker, co-CEO da empresa de segurança cibernética Cygenta, que acompanhou o ataque de Hackney. Barker acrescenta que, para as pessoas envolvidas na recuperação técnica, pode haver estresse e esgotamento, e para as pessoas envolvidas em ajudar os cidadãos, pode ter acrescentado tempo extra aos seus trabalhos. 

O Serviço de Crianças e Famílias de Hackney – que inicialmente perdeu seus sistemas de gerenciamento de assistência social e gerenciamento de documentos – reconheceu em um relatório anual o preço que o ataque teve sobre a equipe. Ele disse que “o moral em algumas partes do serviço pode ser menor” por causa da pandemia e do ataque de ransomware. Ele também disse que o “legado do ataque cibernético em outubro de 2020 não pode ser subestimado”.

Miller diz que está “orgulhoso” da maneira como a equipe de Hackney reagiu, mas admite que tem sido difícil para os que trabalham lá. “As pessoas entram no serviço público porque queremos fazer as coisas direito, você dá aos moradores e cidadãos os serviços de que precisam, queremos tornar a vida melhor para eles”, diz ele. “Estar em uma posição em que as pessoas tiveram que se esforçar muito e sabem que estão entregando menos do que normalmente esperariam entregar – acho que tem sido muito difícil para as pessoas. Eles se preocupam com o que isso significa para nossos residentes.” A estrada à frente

De muitas maneiras, o Hackney Council é um caso atípico. A grande maioria das vítimas de ransomware não fala sobre os ataques que enfrentaram. Eles se referem a “incidentes cibernéticos” opacos e “atacantes sofisticados”, mas se recusam a responder a perguntas. Hackney tem sido mais transparente do que a maioria.

Embora a recuperação de Hackney tenha sido difícil e lenta, Miller diz que as medidas para modernizar sua tecnologia e mover seus serviços para hospedagem em nuvem significaram que ela não foi totalmente desativada. Os sistemas de e-mail, plataformas de mensagens e site do conselho ainda estavam funcionando. Não foi totalmente reduzido a caneta e papel. Os líderes do conselho realizariam reuniões de emergência diárias “Cyber ​​GOLD” para os líderes lançarem planos de negócios. Durante a recuperação, diz Miller, haveria reuniões de emergência para responder à pandemia e ao ataque de ransomware simultaneamente. Um ano após o ataque, o conselho  disse que seus serviços estavam todos de volta, mas não funcionando normalmente.

Allan Liska, analista da empresa de segurança Recorded Future, especializada em ransomware, diz que o processo de recuperação pode demorar mais do que muitas pessoas esperariam. “Pelo menos nas primeiras semanas, você geralmente tem funcionários trabalhando o tempo todo”, diz Liska, acrescentando que muitas vezes os governos locais podem levar seis meses para voltar a funcionar, embora dois anos não seja incomum. Após a luta inicial para descobrir o que aconteceu tecnicamente, os backups (se existirem) precisam ser restaurados e manuseados com cuidado. “A recuperação deve ser medida para não reintroduzir o ransomware na rede”, diz Liska. 

Hackney priorizou os serviços do conselho – como assistência social e infantil – para recuperação, diz Miller. E enquanto os serviços foram afetados, os “planos de continuidade” os ajudaram a continuar operando, e os horários impediram que o lixo se acumulasse nas ruas. “Não é nada trivial, mas eles podem fazer o trabalho”, explica Miller. Dentro de alguns serviços, como a criação de aplicativos, as pessoas foram instruídas a reenviar os documentos.

A equipe dentro do conselho também hackeou seu caminho sem ter seus sistemas regulares em vigor. Formulários Google e Planilhas Google foram usados ​​como medidas temporárias para coletar informações das pessoas. Funcionários do conselho que trabalham em reparos habitacionais descreveram colocar “pilhas e mais pilhas” de pedidos de reparo do papel em sistemas de computador. Onde sistemas temporários foram usados, Miller diz que foi importante descobrir como os dados recém-coletados se encaixariam nos sistemas permanentes quando fossem restaurados. 

Em alguns casos, diz Miller, o conselho tornou sua recuperação mais difícil ao tentar não interromper os serviços prestados. A equipe decidiu continuar pagando seus 30.000 pedidos de benefícios que estavam em vigor no momento do ataque. “Teria sido administrativamente muito mais fácil simplesmente interromper todos os pagamentos de benefícios, colocar o sistema de benefícios de volta em funcionamento e começar de novo”, diz Miller. “Mas seriam seis meses sem que as pessoas recebessem nenhum benefício.”

Miller diz que o ataque cibernético permitiu que Hackney acelerasse o processo de mover mais de seus serviços para a nuvem, em vez de hospedá-los diretamente em seus próprios servidores. Ele diz que o conselho está tentando remover o risco de seus sistemas, dizendo que se livrou de 95 por cento dos computadores Windows, que são mais propensos a sofrer de malware. “Realmente tivemos que construir nossa infraestrutura de dados do zero novamente”, disse Stidle, gerente de dados e insights de Hackney, em uma palestra em julho de 2022 sobre  a reconstrução dos serviços do conselho . “Queríamos migrar tudo para a nuvem e usar essa crise como uma oportunidade.”

No início de 2023, a maioria dos serviços do conselho está funcionando normalmente novamente, diz Miller, acrescentando que as equipes de Hackney ainda estão classificando alguns dados e reunindo-os novamente. Isso não significa que ainda não haja problemas. O registro de riscos do conselho,  de 18 de janeiro , classifica as consequências do ataque cibernético como um “risco vermelho”, mas diz que seu impacto está diminuindo. Por fim, Miller diz que os governos locais e as organizações do setor público precisam identificar de onde vêm as ameaças às suas organizações e certificar-se de priorizar a segurança cibernética e eliminar possíveis riscos. “É importante para nós qual é o impacto sobre nossos residentes – e é isso que realmente mantém as pessoas em movimento”, diz ele.

Fonte: https://www.wired.com/