Ataque de ransomware no Tribunal Superior do Condado de LA: Falha de segurança? Ou sucesso?

O recente ataque de ransomware ao sistema do Tribunal Superior do Condado de Los Angeles recebeu muita cobertura da imprensa e, no geral, o consenso parece ser que foi devastador.

Mas foi mesmo? Ainda há muito que não sabemos. Mas, com base no que sabemos, há quem defenda que o Tribunal fez um trabalho fantástico ao detetar e responder ao ataque de forma a minimizar os danos e permitir uma recuperação rápida e um retorno às operações normais.

O que sabemos

Em primeiro lugar, sabemos que o Tribunal Superior do Condado de Los Angeles é o maior tribunal de julgamento do país, com 36 locais de tribunal espalhados por todo o condado. Em 2022, mais de um milhão de casos foram apresentados ao tribunal, e 2.200 julgamentos por júri foram realizados.

Com base nas declarações emitidas pelo tribunal, sabemos que o ataque ocorreu a 19 de julho de 2024. Assim que detetou o ataque, a Divisão de Serviços Tecnológicos do Tribunal (CTS) desativou os seus sistemas de rede para limitar danos e perdas.

19 de julho foi uma sexta-feira. Na segunda-feira, 22 de julho, o Tribunal estava encerrado para negócios. Na terça-feira, dia 23, todos os 36 tribunais do sistema estavam novamente abertos, e muitos, mas certamente não todos, dos sistemas e aplicações online do Tribunal estavam a funcionar. Por exemplo, o depósito eletrónico estava disponível apenas para “documentos que iniciam o caso”, mas novos documentos não podiam ser apresentados em casos existentes.

LACourtConnect, a plataforma do Tribunal para comparências remotas ainda não estava funcional, mas o Centro de Autoajuda e outras partes do site do Tribunal estavam disponíveis. No dia seguinte, 24 de julho, as comparências remotas usando LACourtConnect estavam disponíveis para casos civis, mas não para outros tipos de casos.

Ao longo do resto da semana, mais aplicações e recursos foram restaurados, até à segunda-feira seguinte, 29 de julho, quando o Tribunal anunciou que todos os sistemas voltados para o público estavam novamente funcionais.

O que não sabemos

Talvez o mais importante, ainda não sabemos—porque o Tribunal até agora se recusou a responder—se o Tribunal pagou algum resgate para resolver o ataque.

Outra coisa que não sabemos é exatamente quais recursos de cibersegurança o Tribunal tinha em vigor no momento do ataque.

Como alguns observadores têm apontado, os tribunais e outras organizações governamentais municipais e locais têm sido fortemente alvo de criminosos de ransomware. De facto, é algo que já abordámos neste espaço várias vezes nos últimos anos, por exemplo here, e here, e here.

"Forte investimento" em cibersegurança

Uma razão pela qual são alvos atraentes é simplesmente porque as suas defesas tendem a ser menos robustas do que as de muitas organizações privadas, e isso geralmente é resultado de subfinanciamento.

No entanto, como destacou a juíza presidente do Tribunal, Samantha P. Jessner, nas suas declarações, o Tribunal fez “grande investimento” em cibersegurança nos últimos anos, o que ela creditou, em parte, pela rápida contenção e recuperação do ataque de 19 de julho.

Embora o Tribunal não fosse um cliente da Barracuda, é totalmente possível que esses investimentos em cibersegurança tenham incluído backup avançado, deteção e resposta alargadas (XDR), controlos de acesso de confiança zero e/ou outras soluções modernas comprovadas para acelerar a deteção e resposta a ataques de ransomware.

Mas o facto de o Tribunal ter estado aberto para negócios apenas quatro dias após o ataque, e completamente recuperado apenas 11 dias depois, sugere que a sua infraestrutura de cibersegurança era bastante robusta. Ataques semelhantes a outros municípios frequentemente interromperam operações durante semanas ou mesmo meses.

Disrupção, não devastação

Obviamente, este ataque foi altamente disruptivo para organizações e indivíduos com negócios perante o Tribunal durante os 11 dias que demorou a recuperar totalmente. E as direções editoriais estão bastante corretas ao serem a exigir mais detalhes e responsabilização sobre o ataque e a resposta do Tribunal.

Mas, no contexto mais amplo da onda de ataques ao sistema municipal nos últimos anos, devemos reconhecer que o resultado poderia ter sido muito pior e a interrupção no sistema jurídico do Condado de LA poderia ter sido muito mais prolongada.

Visto nesse contexto, penso que é muito provável que, quando os detalhes surgirem, este episódio seja visto como evidência de que as organizações governamentais municipais e locais responderam eficazmente à pressão para um aumento do investimento na modernização da sua tecnologia de cibersegurança, formação e pessoal.