Eles chamam isso de “estancar o sangramento”: a janela vital para evitar que um banco de dados inteiro seja saqueado por criminosos ou que uma linha de produção seja interrompida.
Quando chega uma chamada para a empresa de segurança cibernética S-RM, com sede na Whitechapel High Street, no leste de Londres, uma empresa ou instituição hackeada pode ter apenas alguns minutos para se proteger.
O S-RM, que ajudou um cliente de varejo de alto nível a se recuperar de um ataque cibernético do Scattered Spider, tornou-se um sucesso silencioso, muitas vezes boca a boca.
Muitos dos funcionários seniores da empresa são multilíngues e têm uma presença on-line mínima, o que revela currículos escassos, mas impressionantes, sugestivos de carreiras baseadas em inteligência corporativa ou governamental.
S-RM agora possui a maior equipe de resposta a incidentes cibernéticos do Reino Unido. Seu serviço de primeiros socorros é composto por cerca de 150 especialistas em todo o mundo. Tem clientes que o mantêm sob controle, vítimas indicadas por seguradoras e “intermediários”: pessoas que de repente percebem que seu negócio está sob ataque e acessam os primeiros resultados em seus mecanismos de busca.
No caso da vítima do Scattered Spider, que o Guardian entende não ter sido a Marks & Spencer ou a Co-op – dois retalhistas que foram atacados em 2025 – uma chamada de 30 minutos do Teams com um retalhista tornou-se “uma chamada de 24 horas com um elenco rotativo de especialistas”, diz Ted Cowell, diretor do braço de negócios cibernéticos da S-RM.
“Em média, respondemos aos clientes em seis minutos. O que é fundamental porque muitas vezes as primeiras horas de um incidente cibernético podem ser a maior janela de oportunidade para determinar o resultado de um caso e o seu impacto”, afirma. “O que pode começar como uma intrusão na rede pode então se transformar em um cenário completo de malware ou ransomware.”
Prateleiras vazias em uma loja da M&S. A M&S não foi o cliente de varejo que a S-RM ajudou a recuperar de um ataque cibernético do Scattered Spider. Fotografia: Holly Williams/PA
Cowell, um falante de russo formado em Cambridge, diz que controlar o ataque durante um período de “reconhecimento” pode resultar num resultado radicalmente diferente, em comparação com uma resposta lenta. Os criminosos muitas vezes precisam de algum tempo após a primeira penetração nos sistemas de uma empresa para descobrir o que é de maior valor. Este curto período de tempo pode, portanto, permitir que os especialistas evitem os ataques mais dolorosos do ponto de vista operacional. A “exfiltração” – o roubo de dados críticos – e a encriptação, através da qual as empresas podem ser bloqueadas nos seus próprios sistemas, podem ser as mais prejudiciais.
“Às vezes podemos impedir que isso aconteça”, diz Cowell. As equipes se concentram em “estancar o sangramento”, limitando ou cortando o acesso do invasor aos sistemas. Isto é o que a equipe do S-RM conseguiu fazer com a vítima do Scattered Spider: interromper a detonação de malware nos sistemas.
Os negócios vão bem à medida que a indústria do crime cibernético cresce, mas isso traz consigo desafios éticos. A S-RM e os seus pares da indústria têm enfrentado críticas por ajudarem a facilitar o pagamento de resgates a criminosos que sequestram empresas por dinheiro.
O “apoio à extorsão” é uma parte importante do trabalho da S-RM. Isso significa que seus especialistas estão presentes quando os resgates são negociados, às vezes fazendo a própria negociação em nome de um cliente. Cowell parece interessado em evitar críticas sobre alimentar o crime organizado, ajudando as empresas a pagar resgates ou agindo em nome de seguradoras que vendem apólices que cobrem pagamentos de resgates.
“Somos instruídos pelo segurado, pelo segurado”, diz ele.
“A nossa ambição é orientar as decisões de ‘não pagamento’ sempre e onde for possível”, continua ele, acrescentando que as empresas estão cada vez mais a adoptar essa abordagem e a não pagar resgates.
“Nosso papel é facilitar o pensamento estratégico”, diz ele. “Dê aos clientes alguma estrutura para ordenar seus pensamentos. Eles provavelmente nunca estiveram em uma situação como essa antes.
“A decisão das empresas sobre o que fazer é delas mesmas. Apenas oferecemos o modelo de uma crise, como as coisas se desenrolam com base na nossa experiência.
“Por que deveríamos pagar esses criminosos?” é um desafio que Cowell diz que sua equipe coloca aos funcionários de alto escalão das empresas afetadas. “Uma das coisas sobre as quais frequentemente educamos os conselhos é que o ransomware é uma empresa criminosa organizada.”
Estes grupos nefastos têm, explica ele, “marcas a defender”. Grupos de ransomware estabelecidos, normalmente, honrarão um acordo. O S-RM também tem uma imagem cada vez mais detalhada de como estes grupos se comportaram em negociações anteriores.
Quanto mais estabelecido o grupo, maior a probabilidade de honrar qualquer acordo acordado, seja excluindo dados roubados ou fornecendo chaves para descriptografar arquivos críticos. O S-RM oferece um resumo de quem é quem em termos de confiabilidade, padrões de negociação, comportamentos, estendendo-se até mesmo a preocupações com sanções.
Este último raramente se aplica, no entanto. Tentar impor sanções a grupos ligados ao Estado é um jogo de “bater na toupeira”, diz Cowell. Se os chamados “actores de ameaças” aparecerem nas listas de sanções, tenderão a desmantelar-se e a reformar-se sob uma nova roupagem. O risco de colocar dinheiro, ainda que indirectamente, em mãos de inimigos do Estado é, portanto, outra consideração para as empresas que enfrentam um ataque cibernético.
A produção é retomada na Jaguar Land Rover. As investigações sobre o ataque cibernético à montadora identificaram a Rússia como um potencial suspeito. Fotografia: JLR
Mesmo assim, às vezes as empresas decidem pagar. Pode ser racional para as circunstâncias da empresa e, em última análise, “a decisão é sempre deles”, diz Cowell.
À medida que o código moral corporativo de pagamento de resgates amadurece e as decisões de não financiar o crime organizado se tornam mais comuns, os serviços de restauração e recuperação tornaram-se uma parte maior do mercado de resposta à cibersegurança. Cada vez mais é uma prioridade apenas colocar os sistemas de volta em funcionamento o mais rápido possível, com a análise forense de como alguém entrou em um sistema tornando-se secundária.
Nos últimos anos, o papel da ciberinteligência do governo do Reino Unido também mudou significativamente. O Centro Nacional de Segurança Cibernética “nos últimos quatro ou cinco anos sofreu uma enorme transformação”, diz Cowell. O NCSC alcançou os seus equivalentes nórdicos e agora contacta proactivamente as vítimas, dizendo-lhes que podem ser alvos com base em informações de inteligência.
“Era mais uma forma de obter informações”, pedindo informações a pessoas como a S-RM, que elas forneceriam de bom grado com o consentimento do cliente, diz Cowell.
“(Agora) eles estão desempenhando um papel mais robusto, assumindo a liderança e reunindo as pessoas para facilitar o compartilhamento de informações. Vimos o impacto disso com os ataques do Scattered Spider”, acrescenta.
