Após sofrer um ataque de sequestro digital (ransomware) que paralisou parte de seus sistemas na última quinta-feira (19), a Lojas Renner reestabeleceu a normalidade de seu site oficial e serviços de pagamento no último domingo (22). Desde que confirmou a existência do ataque, a empresa não emitiu mais comunicado sobre o assunto, que despertou a atenção de órgãos como o Procon-SP.
Ainda na quinta-feira (19), a entidade solicitou que a companhia informe quais bancos de dados foram atingidos, o tempo de indisponibilidade de seus serviços e se houve algum vazamento de informações pessoais dos clientes — esclarecimentos que devem ser feitos até a próxima quarta-feira (25). Também foram solicitadas informações sobre o plano de proteção e recuperação, canais de atendimento disponíveis e a data prevista para a solicitação do problema
O Procon-SP também pediu que a Lojas Renner informasse qual o processo de criptografia usado para os dados de clientes, a forma como eles são tratados e armazenados, e se há um Encarregado de Dados nomeado, conforme prevê a Lei Geral de Proteção de Dados (LGPD). Em contato com o Canaltech, a assessoria de imprensa da companhia afirmou que não tem novas informações sobre o caso, mas que continuará compartilhando novidades assim que elas surgirem.
Além de deixar fora do ar o site da Lojas Renner, o ataque também paralisou temporiamente os pagamentos por meios digitais das lojas físicas — que continuaram operando, aceitando exclusivamente pagamentos em dinheiro. O ataque também prejudicou as atividades da Camicado, empresa que pertence ao mesmo grupo.
Ataque cercado por especulações
Segundo Ledivino Natal da Silva, CEO da empresa de segurança Stefanini Rafael, casos como o da Lojas Renner devem se tornar comuns no Brasil. Ele afirma que, sem a divulgação de informações por parte da empresa, só é possível especular qual foi o vetor de entrada dos criminosos, que pode ter sido tanto um ataque de phishing quanto a exploração de uma vulnerabilidade divulgada na internet.
Vitor Gasparini, Sales Engineer da Trend Micro, afirma que no momento não é possível afirmar qual foi o ponto de entrada do ataque, a não ser que a empresa forneça mais detalhes. Ao Canaltech, ele informou que 90% dos casos ainda se originam por e-mails falsos (phishing), mas que, em 100% das vezes, há algum erro humano envolvido — e o ambiente de home office aumenta as chances de problemas.
No caso da Lojas Renner, Gasparini também afirma que há a possibilidade de os responsáveis — atualmente o ataque é ligado ao grupo RansomEXX — terem explorado brechas em servidores antigos, que podem ter sistemas desatualizados e suscetíveis a ataques. Independentemente do caminho usado, o especialista explica que os criminosos provavelmente se infiltraram no sistema da empresa alguns meses antes de realizar o ataque.
Natal também explica que o processo de ativação de um ransomware não é simples e demanda uma grande investigação dos sistemas usados pelos alvos, em um processo considerado bastante sofisticado. Ele afirma que os dados criptografados e roubados têm grande valor para os criminosos, que vêm no sequestro digital uma forma de obter informações valiosas.
“O seu dado pode ser vendido fora. Uma vez que ele tira seu dado do ambiente, depois você não controla mais o que ele está fazendo com aquilo”, explica o especialista. No caso da Renner, a falta de informações sobre o que foi obtido pelos cibercriminosos colabora para um sentimento de insegurança — tanto para a companhia quanto para seus clientes.
Risco a dados de clientes
Enquanto a Lei Geral de Proteção de Dados (LGPD) prevê que empresas são responsáveis por informações sensíveis de consumidores no caso de roubos, quem é cliente da loja também se vê com poucas alternativas. Gasparini, da Trend Micro, explica que, assim como aconteceu em casos anteriores — como a invasão ao Tesouro Nacional —, informações comprometidas agora podem só surgir no mercado daqui há alguns anos.
“A poeira vai baixar, talvez a gente não saiba o que eles conseguiram pegar dos clientes da Renner, e daqui dois a três anos a gente tenha esses dados sendo vendidos na internet novamente”, explica. “Além do estrago que você causa em uma grande corporação, você começa a ter pequenos prejuízos para os clientes finais, e aí envolve um monte de coisa. E passa tanto tempo que você não sabe mais se foi dali, você não vai saber que foi por causa do ataque da Renner que aquilo aconteceu”.
No momento, Gasparini afirma que o meio dos clientes da loja se protegerem é revisar os dados que compartilham com ela para retirar cartões associados a seus meios de pagamento, cancelá-los e solicitar novos com números que não foram comprometidos. No entanto, ele afirma que, sem saber qual foi o impacto do ataque e o nível de exploração feito pelos cibercriminosos, não há como tomar medidas adicionais no momento.
Ataques devem se intensificar
Ataques como o realizado contra a Lojas Renner tendem a se intensificar no Brasil, seguindo uma tendência mundial na qual o ransomware surge como uma ferramenta de ataque eficiente. Entre os motivos para isso está o fato de que, atualmente, não há mais barreiras as barreiras tecnológicas vistas em um passado recente e a digitalização de serviços e atividades já é forte no país.
Segundo Natal, da Stefanini Rafael, o Brasil já se tornou um foco de ataques e mais de 160 milhões de tentativas de ações de cibercriminosos já foram registradas. Esse cenário obriga empresas a investirem em medidas tanto de proteção quanto de contenção do dano causado pelas ações criminosas.
Ele afirma que campanhas de conscientização, a realização constante de testes em buscas de vulnerabilidades e o monitoramento contínuo a ameaças deve fazer parte da segurança de qualquer corporação. Além do investimento em ferramentas de proteção adequadas, como firewalls e antivírus, companhias também precisam criar políticas de whitelist, investir em processos de autenticação em duas etapas e no treinamento de suas equipes — como lembra Gasparini, 100% dos ataques de ransomware podem ser ligados a uma falha humana.
O especialista da Trend Micro também aponta que a LGPD é uma ferramenta útil para começarmos a pensar na proteção de dados, mas que é preciso ir além. Segundo ele, a existência da lei também é de conhecimento dos criminosos, que, cientes das consequências que o vazamento de dados pode trazer, podem usar isso como forma de reforçar a dupla extorsão — quando, além de cobrar um resgate por dados, é feita uma cobrança adicional para que eles não sejam divulgados publicamente.
Para Natal, o compartilhamento de informações é algo importante para o combate a ataques futuros, e a divulgação de dados sobre ataques sofridos seria de grande valia para a segurança digital. Gasparini concorda, mas afirma que ainda há muita resistência entre corporações afetadas, visto que ser vítima de um ataque digital ainda é motivo de vergonha para muitas delas.
Fonte: https://canaltech.com.br/seguranca/lojas-renner-reestabelece-site-e-sistema-de-pagamentos-apos-ataque-de-ransomware-193509/