Por Lindsay McKenzie/Inside Higher ED: Os cibercriminosos descobriram uma nova maneira de extorquir universidades — roubando informações confidenciais e ameaçando compartilhá-las na dark web, a menos que uma recompensa seja paga. Três instituições foram alvo de hackers usando essa abordagem nas últimas duas semanas. A primeira foi a Universidade Estadual do Michigan , depois a Universidade da Califórnia, São Francisco e, mais recentemente, a Faculdade de Columbia.

Leia: Com a pandemia, 30% das instituições de ensino podem fechar as portas até o fim do ano

Nenhuma das instituições divulgou quanto foi solicitado de resgate. Todos foram direcionados ao uso de software malicioso conhecido como NetWalker  e receberam um prazo de seis dias para pagar. Um blog dirigido pelos cibercriminosos por trás do NetWalker afirma que as informações roubadas das instituições incluem números do Seguro Social, entre outras informações confidenciais. Usuários do Twitter, como Ransom Leaks, compartilharam capturas de tela de dados de amostra compartilhados no blog, que incluem passaportes e detalhes bancários.

A Universidade Estadual do Michigan declarou publicamente que  não pagaria resgate  aos hackers na semana passada — uma declaração incomum, pois muitas instituições não optam por tornar públicas suas respostas aos pedidos de resgate. Em 4 de junho, os hackers começaram a publicar os dados que roubaram da Universidade do Michigan, disponibilizando-os para download na dark web.  “O pagamento a esses criminosos apenas permite que esses crimes sejam perpetuados e visem outras vítimas”, disse Dan Ayala, chefe interino de segurança da informação do estado de Michigan, por e-mail. Ele acrescentou que a decisão de não pagar estava de acordo com as orientações da polícia e foi alcançada com o apoio do Conselho de Administração e do presidente da universidade.  

O ataque à Universidade Estadual do Michigan foi limitado à unidade de física e astronomia da instituição. No momento, não se sabe quanta informação os hackers conseguiram acessar, nem quanto vazou agora que o prazo do expirou. Ayala disse que não conseguiu compartilhar muitos detalhes sobre o ataque para “proteger a integridade da investigação em andamento”.

Estudantes, professores e funcionários estão recebendo atualizações sobre a situação conforme ela se desenrola, afirmou Ayala. “Continuamos a fornecer atualizações a todos os alunos, professores e funcionários em nossa investigação em andamento com informações que podemos compartilhar quando podemos compartilhá-las”, ressaltou. “Essas comunicações também incluem práticas recomendadas para segurança cibernética pessoal e maneiras de proteger sua identidade se ela for comprometida. Estamos trabalhando com fornecedores externos para finalizar os serviços de proteção contra roubo de identidade para as pessoas afetadas”.

A decisão de não pagar o resgate foi  “apoiada pela comunidade MSU, especialmente com o entendimento de que o pagamento de tais quantias perpetua a prática”, contou Ayala. Mas os alunos estão compreensivelmente preocupados com as informações que podem ter sido roubadas, disse Brianna Aiello, vice-presidente de assuntos acadêmicos da Asssociação dos Estudantes da Universidade Estadual do Michigan, a organização do governo estudantil da instituição.

Pagar ou não pagar

A Faculdade de Columbia e a Universidade da Califórnia, em São Francisco, parecem ter adotado uma abordagem diferente na resposta ao ataque, disse Brett Callow, analista de ameaças da empresa de soluções de segurança cibernética Emsisoft. “Seus dados não estão mais no blog NetWalker, sugerindo que eles pagaram o resgate ou negociaram para que as informações fossem retiradas”, explicou.

Nenhuma instituição respondeu a perguntas sobre se pagaram ou não o resgate exigido pelos hackers ou se trataram da escala das violações. Como a Universidade do Michigan, as duas instituições declararam que não conseguiram compartilhar muita informação, pois as investigações estão em andamento. A Universidade da Califórnia, em São Francisco, compartilhou uma declaração que confirmou “uma invasão ilegal em uma área específica do nosso ambiente de TI foi identificada em 1º de junho”.

A UC San Francisco é uma das instituições de pesquisa que lidera os esforços nos EUA para encontrar possíveis tratamentos para a covid-19. Vários relatos da mídia sugeriram que essa pesquisa e a propriedade intelectual associada potencialmente lucrativa podem ter feito da instituição um alvo atraente para hackers. A universidade não confirmou o alvo do ataque.

“Acreditamos que nossas ações isolaram a intrusão na área visada”, afirmou a universidade em comunicado. “É importante ressaltar que nossas operações de atendimento ao paciente não são impactadas e o incidente não afeta nossa rede geral do campus. Contratamos uma empresa de segurança de TI e procuramos a polícia. Com a assistência deles, estamos realizando uma avaliação completa do incidente, incluindo uma determinação de quais informações, se houver alguma, podem ter sido comprometidas…Para preservar a integridade da investigação, precisaremos limitar o que podemos compartilhar no momento”, pontua a declaração.

Leia: Matrículas no ensino superior americano podem crescer, mas faturamento cai

Uma ameaça em evolução

Historicamente, o software malicioso conhecido como ransomware tem sido usado por hackers para bloquear o acesso a redes e arquivos de computadores —  causando enormes inconvenientes ao alvo. O acesso pode ser restaurado mediante pagamento de resgate aos hackers, ou o alvo pode optar por reconstruir e substituir os sistemas e as informações perdidas —  um processo potencialmente árduo e caro, dependendo da escala do ataque.

Ataques bem-sucedidos de ransomware são relativamente incomuns no ensino superior, mas acontecem. O Monroe College estava entre  algumas instituições  submetidas a ataques de ransomware de alto perfil no ano passado. O  impacto na faculdade  foi enorme – estudantes, professores e funcionários não conseguiram acessar o site da universidade, o sistema de gerenciamento de aprendizado ou o e-mail por vários dias.

Em resposta a esses tipos de ataques, mais organizações investiram em sistemas para fazer backup de seus dados, o que significa que, se o acesso às informações for bloqueado, os dados não serão perdidos. Isso forçou os hackers a mudar de tática, disse Callow. No final de 2019, os hackers que usam ransomware começaram não apenas a bloquear o acesso às informações, mas também a ameaçá-las na dark web – prejudicando a reputação da organização ou instituição envolvida.

Às vezes, os hackers não apenas publicam informações na dark web, mas se oferecem para vendê-las ao maior lance, explicou Callow. Ele observou que não há garantias ao lidar com hackers — eles podem vender informações roubadas, mesmo que recebam o dinheiro do resgate que pedem. “Você não pode acreditar na palavra deles”, disse ele.

As instituições de ensino superior são obrigadas por lei a proteger as informações dos alunos, mas têm um longo histórico de “violações de informações realmente ruins” que nem sempre são bem tratadas, contou Amelia Vance, diretora de privacidade de jovens e educação no Fórum Futuro da Privacidade. 

Muitas vezes, as instituições são obrigadas a relatar violações de dados em nível estadual. As violações suspeitas também devem ser relatadas ao Departamento de Educação dos EUA, mas há alguma confusão sobre o que constitui uma violação de dados reportáveis, disse Vance. “Se você ler as orientações, há uma falta de clareza. Poderia abranger tudo. Mas há muitas violações claras e eu caracterizaria esses incidentes recentes como violações”. 

Leia: Educação, o novo alvo preferencial dos cibercriminosos

Prevenção de futuros ataques

Uma maneira pelas quais as instituições podem tentar impedir o vazamento de dados confidenciais é garantir que não mantenham informações que não precisam, disse Vance. “Precisamos de instituições para praticar continuamente uma boa higiene de dados”, disse ela. 

Outra opção seria que as faculdades criptografassem informações confidenciais que precisam manter. Isso tornaria as informações roubadas praticamente inúteis na dark web, uma vez que custaria tempo e dinheiro para os criminosos decifrarem a criptografia, detalhou Vance. O problema de criptografar tudo no nível institucional é a usabilidade. “Se um sistema é excessivamente complicado, as pessoas simplesmente circulam, independentemente do sistema”, explicou Vance. “É um equilíbrio difícil encontrar o caminho certo para as instituições fazerem isso”. 

As universidades, diferentemente de muitas empresas, são incomuns por tentarem manter redes relativamente abertas para incentivar a colaboração e a facilidade de uso, disse Mike Stanfield, analista de segurança sênior do Centro de Pesquisa em Segurança Cibernética da Universidade de Indiana. Para ele, manter a abertura ao tentar proteger uma rede é incrivelmente difícil.

No momento, muitos membros do corpo docente estão trabalhando em casa em redes que podem não ser seguras, dificultando ainda mais o trabalho dos líderes de TI da faculdade. “Esses ataques estão chegando em um momento muito ruim, muitas pessoas estão trabalhando em casa, temos todos esses perímetros porosos”, disse ele.

Muitos ataques de ransomware são o resultado de e-mails de phishing, em que os usuários clicam em um link e baixam inadvertidamente software malicioso. Nos últimos meses, os e-mails de phishing usaram o medo e a confusão relacionados à pandemia da covid-19 a seu favor. Para impedir que os e-mails de phishing sejam bem-sucedidos, as instituições podem treinar funcionários da faculdade para identificar e-mails de aparência suspeita, disse Stanfield. Segundo ele, a identificação de dois fatores também é uma defesa importante.

Brian Kelly, diretor de segurança cibernética da Educause, concordou que essas são etapas importantes, mas elas podem não necessariamente se defender dos ataques do NetWalker. Publicamente, os CIOs podem não estar compartilhando muita informação sobre como esses ataques ocorrem e os indicadores que estão procurando, mas existem redes nas quais os líderes de TI estão compartilhando informações, como a rede REN-ISAC da Universidade de Indiana. “Podemos nos ajudar sem avisar um hacker de que estamos comprometidos com eles”, disse Kelly. 

Kelly e Stanfield concordaram que é importante que os líderes de TI do ensino superior estejam monitorando essas redes e conversando com seus colegas. Os ataques cibernéticos estão em constante evolução e o fracasso em acompanhar as novas informações pode ter consequências terríveis. “É um jogo constante de gato e rato”, afirmou Kelly. “Assim que entendemos uma ameaça, surge uma nova.” 

*A matéria é uma produção do portal https://www.insidehighered.com/.

Leia também:

Movimento pede a descolonização dos currículos

Eugênio Bucci fala sobre a luta da universidade contra as fake news