O ransomware sempre foi um problema nos municípios americanos. Parecia ser outro ataque típico de ransomware que atingiu a cidade de Columbus, Ohio, em julho passado. Mas a resposta da cidade ao hack foi diferente, e especialistas jurídicos e de segurança cibernética de todo o país estão questionando os motivos por trás do ataque.
Connor Goodwolf (nome verdadeiro é David Leroy Ross) é um consultor de TI que pesquisa a dark web como parte de seu trabalho. “Eu rastreio crimes do tipo dark web, organizações criminosas e coisas como as razões pelas quais o CEO do Telegram foi preso”, disse Goodwolf.
Quando surgiu a notícia de que sua cidade natal, Columbus, havia sido hackeada, Goodwolf fez o que sempre faz: vasculhou a Internet. Não demorou muito para ele descobrir o que os hackers tinham em mãos.
“Não foi a maior, mas foi uma das violações de dados mais importantes que já experimentei”, disse Goodwolf.
De certa forma, ele descreveu isso como uma invasão rotineira que expôs informações pessoais, informações protegidas de saúde, números de Seguro Social e fotos de carteiras de motorista. No entanto, como vários bancos de dados foram invadidos, o ataque foi mais abrangente do que outros. De acordo com Goodwolf, os hackers invadiram vários bancos de dados da cidade, da polícia e do Ministério Público. Havia registros de prisões e informações confidenciais sobre menores e vítimas de violência doméstica. Alguns dos bancos de dados hackeados, diz ele, datam de 1999.
Goodwolf encontrou mais de três terabytes de dados que levaram mais de 8 horas para serem baixados.
“A primeira coisa que vejo é o banco de dados do promotor e penso, ‘Puta merda’, são vítimas de violência doméstica. Quando se trata de vítimas de violência doméstica, precisamos de protegê-las ao máximo porque já foram vitimadas antes e agora são vitimadas novamente ao terem as suas informações expostas”, afirmou.
A primeira ação de Goodwolf foi entrar em contato com a cidade e informá-la sobre a gravidade da violação, pois o que viu contradizia as declarações oficiais. Em uma entrevista coletiva em 13 de agosto, o prefeito de Columbus, Andrew Ginther, disse: “As informações pessoais que o ator da ameaça postou na dark web foram criptografadas ou corrompidas, tornando inutilizáveis a maioria dos dados provenientes do ator da ameaça”.
Mas o que Goodwolf descobriu não apoiava essa visão. “Tentei entrar em contato com a cidade e vários departamentos várias vezes e fui recusado”, disse ele.
A Mandiant, de propriedade do Google, bem como muitas outras empresas líderes em segurança cibernética, estão observando um aumento contínuo nos ataques de ransomware, tanto em frequência quanto em gravidade. Eles também estão acompanhando a ascensão do Grupo Rhysida, que está por trás do hack do Columbus e se tornou mais importante no ano passado.
O Grupo Rhysida assumiu a responsabilidade pelo hack. Embora não se saiba muito sobre a gangue cibernética, Goodwolf e outros especialistas em segurança dizem que ela parece ser financiada pelo Estado e sediada na Europa Oriental, possivelmente ligada à Rússia. Goodwolf diz que essas gangues de ransomware são “empresas profissionais” com funcionários, férias remuneradas e relações públicas.
“Desde o outono passado, eles aumentaram o número de ataques e alvos”, disse ele.
A Agência de Segurança Cibernética e de Infraestrutura do governo dos EUA emitiu um boletim sobre Rhysida em novembro passado.
Goodwolf disse que como ninguém da cidade respondeu a ele, ele procurou a mídia local e forneceu dados aos repórteres para divulgar a gravidade da violação. E então ele teve uma resposta da cidade de Columbus, na forma de uma ação judicial e uma liminar que o impedia de divulgar mais informações.
A cidade defendeu sua resposta em comunicado à CNBC:
“A cidade originalmente buscou esta liminar para impedir a divulgação de informações sensíveis e confidenciais que poderiam potencialmente comprometer a segurança pública e as investigações criminais, incluindo potencialmente as identidades de agentes secretos”.
A ordem de restrição temporária da cidade contra Goodwolf, que foi limitada a 14 dias, já expirou. A cidade agora tem uma ordem de restrição temporária e um acordo com a Goodwolf para não divulgar mais dados.
“Deve-se observar que a ordem judicial não proíbe o réu de discutir o roubo de dados ou mesmo de descrever que tipo de dados foram expostos”, continuou o comunicado da cidade. “Ele simplesmente proíbe indivíduos de distribuir dados roubados na dark web. A cidade continua a se comunicar com as autoridades federais e especialistas em segurança cibernética para responder a este ataque cibernético.”
Entretanto, o presidente da Câmara teve de emitir um mea culpa numa conferência de imprensa subsequente, dizendo que as suas declarações originais se basearam nas informações de que dispunha na altura. “Era a melhor informação que tínhamos na época. Obviamente determinamos que esta era uma informação imprecisa e devo assumir a responsabilidade por isso.”
Reconhecendo que os residentes corriam um risco maior do que se pensava inicialmente, a cidade está a oferecer monitorização de crédito gratuita através da Experian durante dois anos. Isto se aplica a qualquer pessoa que tenha tido contato com a cidade de Columbus através de uma prisão ou outro assunto comercial. Columbus também está trabalhando com Assistência Jurídica para determinar quais proteções adicionais são necessárias para vítimas de violência doméstica que possam ter sido comprometidas ou que precisem de assistência com ordens de proteção civil.
Até o momento, a cidade não pagou aos hackers um resgate de US$ 2 milhões.
“Ele não é Edward Snowden”
Quem estuda direito de segurança cibernética e atua na área ficou surpreso com o fato de Columbus ter entrado com uma ação civil contra o pesquisador.
“Ações judiciais contra pesquisadores de segurança de dados são raras”, diz Raymond Ku, professor de direito da Case Western Reserve University. Nos raros casos em que isso ocorre, geralmente é quando o pesquisador supostamente revelou como um bug foi ou poderia ser explorado, o que permitiria então que outros explorassem o bug.
“Ele não era Edward Snowden”, disse Kyle Hanslovan, CEO da empresa de segurança cibernética Huntress, que se descreveu preocupado com a resposta da cidade de Columbus e seu impacto potencial em futuras violações de dados. Snowden era um funcionário contratado pelo governo que vazou informações confidenciais e estava sob investigação criminal, mas se considerava um denunciante. Goodwolf, diz Hanslovan, é um bom samaritano que encontrou de forma independente os dados roubados.
“Neste caso, parece que silenciamos alguém que me parece ser um investigador de segurança que fez o mínimo e confirmou que as declarações oficiais não eram verdadeiras. Esse não pode ser um uso apropriado dos tribunais”, disse Hanslovan, prevendo que o caso seria rapidamente anulado.
O promotor distrital de Columbus, Zach Klein, disse durante uma entrevista coletiva em setembro que o caso “não se trata de liberdade de expressão ou denúncia de irregularidades. Trata-se de baixar e divulgar documentos de investigação criminal roubados.”
Hanslovan se preocupa com o efeito cascata quando consultores e pesquisadores de segurança cibernética têm medo de fazer seu trabalho por medo de ações judiciais. “A grande história aqui é que estamos testemunhando o surgimento de um novo manual de resposta de hackers que envolve silenciar indivíduos, e isso não deve ser bem-vindo”, disse ele. “Silenciar qualquer opinião, mesmo que por 14 dias, pode ser suficiente para impedir que qualquer coisa credível venha à tona, e isso me assusta”, disse Hanslovan. “Essa voz precisa ser ouvida. Com grandes incidentes de segurança cibernética, temo que as pessoas estejam mais interessadas em trazê-los à luz”.
Scott Dylan, fundador da empresa britânica de capital de risco NexaTech Ventures, também acredita que as medidas da cidade de Columbus poderão ter um efeito inibidor no setor da segurança cibernética.
“À medida que o campo do direito cibernético continua a evoluir, este caso provavelmente será mencionado em discussões futuras sobre o papel dos investigadores após violações de dados”, disse Dylan.
Ele diz que os quadros jurídicos precisam de evoluir para acompanhar a complexidade dos ataques cibernéticos e os dilemas éticos que colocam, e que a abordagem de Columbus é um erro.
Enquanto isso, a batalha legal de Goodwolf continuará a se arrastar. Embora Columbus e Goodwolf tenham chegado a um acordo na semana passada para distribuir informações, a cidade ainda o está processando em uma ação civil por danos que podem custar até US$ 25 mil ou mais. Goodwolf se representa em suas discussões com a cidade, mas diz que tem um advogado disponível se necessário.
Alguns moradores entraram com uma ação coletiva contra a cidade. Goodwolf diz que 55% das informações roubadas foram vendidas na dark web, enquanto 45% estão acessíveis a qualquer pessoa com as habilidades necessárias.
Dylan acredita que a cidade está a correr um grande risco, mesmo que as suas ações possam ser juridicamente defensáveis, ao parecer que está a tentar silenciar o discurso em vez de promover a transparência. “Esta é uma estratégia que pode sair pela culatra, tanto em termos de confiança pública como de litígios futuros”, disse ele.
“Espero que a cidade reconheça o erro de entrar com uma ação civil e as consequências além da segurança”, disse Goodwolf, apontando que a Intel, com apoio significativo do governo federal, está gastando bilhões para construir fábricas de chips nos subúrbios de Columbus. para construir. Nos últimos anos, a cidade posicionou-se como um novo centro tecnológico no “Silicon Heartland” do Centro-Oeste, e ataques a chapéus brancos e investigadores de segurança cibernética, disse ele, poderiam fazer com que alguns no sector tecnológico reconsiderassem a cidade como um local.
