Porque é importante denunciar o cibercrime?

Muitos países, e todos os 50 estados dos EUA, exigem que as empresas informem violações de dados que colocam em risco informações pessoalmente identificáveis (PII). O não cumprimento desta exigência pode resultar em penalizações severas. Ao abrigo do GDPR, por exemplo, as empresas que não reportam violações de dados podem receber multas de até €10 milhões ou 2% da receita anual global, o que for maior. Mas a comunicação de violações de dados deve ser motivada por algo mais do que o medo.

Digamos que você sofre uma violação de dados que não chega a atingir o limiar de reporte. O ataque de ransomware infeta um único servidor sem nada importante, por isso você limpa e reimagine. Você encontra um Trojan num endpoint antes que ele possa exfiltrar quaisquer dados. Estes ataques podem ser considerados triviais, mas ainda assim, vale absolutamente a pena reportá-los. Na guerra contra o crime cibernético, todos os pontos de dados são importantes.

Os grupos de ransomware são furtivos — por isso, cada pista é importante.

Os atacantes tornaram-se muito bons a esconder os seus rastos durante e após um ciberataque bem-sucedido. Enquanto o ataque está em curso, os computadores infetados comunicarão com os atacantes através de comunicações ocultas chamadas comando e controlo (C2).

C2 frequentemente envolve disfarçar tráfego malicioso como tráfego de aplicação comum. Malware também pode escapar à deteção usando portas raramente utilizadas com números altos. Beaconing é outra forma de evitar deteção, na qual o malware irá transmitir pedidos de instruções em intervalos aleatórios, frequentemente horas ou dias após a infeção inicial ter sido realizada.

Ao disfarçar o tráfego e mover-se lentamente, atacantes sofisticados podem evadir heurísticas, IDS/IPS e outras formas de defesa. Em vez de atrair atenção com uma enxurrada de atividade, o malware permanece abaixo do limiar de detecção. Uma vez que o ataque tenha sido realizado, o malware apaga ou encripta-se, eliminando as evidências.

Esta combinação de técnicas significa que os grupos de malware podem ser muito difíceis de localizar — e, se cometerem erros, torna-se essencial que os investigadores recebam as provas.

Todo ator de ameaça deixa informações rastreáveis

Os grupos de ransomware mais bem-sucedidos e as ameaças persistentes avançadas (APTs) podem operar durante anos a fio. O grupo LockBit, por exemplo, atuou de 2019 até 2024 antes de ser desmantelado. O grupo de ransomware atualmente conhecido como BlackSuit tem operado sob um nome ou outro desde 2016, quando começaram a oferecer o ransomware Hermes. Alguns grupos de APT, que são geralmente patrocinados por estados, operam há mais de uma década.

Quando grupos como este operam durante muito tempo, desenvolvem hábitos. O BlackSuit frequentemente obtém acesso utilizando um email de phishing que instala um Trojan de acesso remoto chamado SystemBC. Eles utilizam Cobalt Strike e Mimikatz, além de ferramentas mais legítimas como PowerShell e PSExec, para se disseminar, persistir e escalar privilégios. Finalmente, usam uma estratégia de encriptação parcial para encriptar mais ficheiros mais rapidamente antes de começarem a ultrapassar os limites de deteção.

Por que ataques falhados se tornam pistas para as autoridades policiais?

Agora, digamos que é um CISO ou um analista de segurança. Descobre que um dos seus endpoints foi infectado pelo SystemBC enquanto está no processo de enviar beacon para um servidor C2. Faz a coisa certa e envia os seus registos para um investigador. A partir desta informação, o investigador considera o uso do SystemBC como um bom sinal de que estão a lidar com o BlackSuit. Agora sabem o endereço de um servidor C2 do BlackSuit.

O BlackSuit percebe imediatamente que a sua tentativa de intrusão falhou? Talvez não. Eles desligam imediatamente o seu servidor C2 após uma intrusão falhada? Talvez não. Se o servidor ainda estiver ativo, o investigador pode potencialmente localizá-lo a um centro de dados físico e descobrir quem o está a alugar. Se combinarem as informações que aprenderam com as informações de outros investigadores, podem potencialmente desligar os servidores do grupo e efetuar detenções.

A propósito, o exemplo acima é quase ficção. A 24 de julho de 2025, uma força-tarefa conjunta das autoridades policiais dos EUA e da Europa apreendeu domínios e infraestruturas BlackSuit, recuperando dados que provavelmente revelarão a identidade dos membros do grupo. Dicas como a acima não são apenas úteis na teoria. Elas podem genuinamente ter implicações reais que encerram o cibercrime.

Como comunicar um incidente cibernético (de qualquer escala)

Os relatos de incidentes cibernéticos podem começar localmente e acabar a nível global. Acredite ou não, o seu departamento de polícia local é geralmente o primeiro passo no processo de reporte quando se trata de um incidente cibernético. Cada vez mais, estas organizações terão investigadores internos especializados em cibercrime. Eles serão capazes de fazer um relatório e encaminhar para agências estaduais e federais quando necessário.

Alternativamente, o Internet Crime Complaint Center (IC3) é um recurso composto por uma parceria entre o Departamento de Justiça dos EUA e o FBI. Eles poderão analisar o seu caso e encaminhá-lo para as autoridades locais, estaduais ou federais ou até mesmo para agências internacionais, quando necessário.

Se estiver localizado na UE, provavelmente acabará lidando com um departamento de cibercrime específico do seu estado-membro. Para incidentes de maior escala, a Europol opera o Centro Europeu de Cibercrime (EC3). Este departamento reúne informações sobre vários agentes mal-intencionados e ajuda a coordenar atividades entre os estados da UE. Eles também oferecem assistência técnica de emergência para ajudar a remediar incidentes de alto perfil.

Lembre-se, mesmo que um incidente seja relativamente pequeno e o relatório do incidente não vá além do seu departamento de polícia local, essa informação ainda está disponível para revisão por investigadores internacionais. A menor pista pode tornar-se instrumental na derrubada de grandes e perigosas organizações.

Minimize os riscos de intrusão com a Barracuda

Há uma diferença entre “não reportar incidentes cibernéticos” e “não ter nenhum incidente cibernético para reportar.” A Barracuda oferece cibersegurança completa como um serviço, ajudando-o a proteger os seus endpoints, detetar vulnerabilidades em tempo real e aumentar os seus recursos de TI. Saiba mais sobre Barracuda Managed XDR e como podemos ajudar a acelerar o seu cronograma de deteção e mitigação de dias para horas — reduzindo drasticamente o risco de sofrer um incidente cibernético reportável.