Não pague resgates, dizem o governo do Reino Unido e Privacy Watchdog. Autoridades ainda veem um forte fluxo de pagamentos para criminosos que usam ransomware.
“Nunca pague ransomware.” Essa mensagem permanece inalterada desde que os extorsionários começaram a atacar organizações em todo o mundo com demandas por moedas digitais em troca de reverter dados criptografados maliciosamente.
Como relata a empresa de inteligência blockchain Chainalysis, as vítimas no ano passado pagaram criptomoedas no valor de mais de US$ 600 milhões para gangues empunhando ransomware. Claramente, o ransomware continua a ser um ganhador de dinheiro para os criminosos.
“Vimos um aumento no número de ataques de ransomware e valores de resgate sendo pagos”
Como disse um agente especial do FBI em uma conferência de 2018 na Escócia : “Por mais que digamos às pessoas para não pagarem o resgate, as pessoas pagam o resgate”.
Agora, o órgão independente de vigilância da privacidade da Grã-Bretanha, o Information Commissioner’s Office, e a agência de segurança cibernética do governo, o National Cyber Security Center, estão tentando uma nova abordagem.
Em uma carta à Law Society, um órgão profissional independente para advogados na Inglaterra e no País de Gales, o Information Commissioner John Edwards e a CEO do Centro Nacional de Segurança Cibernética, Lindy Cameron, pedem aos advogados que não aconselhem seus clientes a pagar. Os advogados também não devem sugerir que pagamentos a criminosos diminuirão a exposição dos clientes a multas governamentais.
“Nos últimos meses, vimos um aumento no número de ataques de ransomware e valores de resgate pagos e estamos cientes de que consultores jurídicos são frequentemente contratados para aconselhar clientes que foram vítimas de ransomware sobre como responder e se devem pagar“, disse. Edwards e Cameron escrevem.
“Foi-nos sugerido que persiste a crença de que o pagamento de um resgate pode proteger os dados roubados e/ou resultar em uma penalidade menor por parte da ICO se realizar uma investigação”, acrescentam. “Gostaríamos de deixar claro que este não é o caso.”
Como a carta deixa claro, pagar um resgate significa que:
- Não há garantia de que a vítima receberá uma ferramenta de descriptografia funcional;
- Garantia zero de que os dados roubados não serão revendidos ou vazados, independentemente do que os criminosos possam prometer em troca;
- Nenhuma imunização para vítimas de ataques repetidos pelo mesmo ou por outros grupos criminosos.
A Law Society respondeu com um tweet: “Não aconselhamos os membros a pagar resgates, nem sugerimos que é isso que eles devem aconselhar seus clientes“.
Segundo o Gartner’s Security & Risk Management Summit o custo médio de um pagamento de ransomware no primeiro trimestre de 2020 foi de US $ 178.254, e isso não inclui o custo do tempo de inatividade.
Se uma empresa de médio porte decidir pagar após um ataque de ransomware, é provável que ela não esteja recebendo todos os seus dados criptografados de volta, de acordo com uma sessão do Gartner’s Security & Risk Management Summit. Segundo o TechTarget. “O que vemos é que cerca de 4% dos dados são irrecuperáveis“, disse Paul Furtado, diretor sênior e analista de segurança MSE do Gartner. Furtado liderou a sessão “Fighting Ransomware in Midsize Enterprises“. “Isso significa que sim, você pagou e, sim, recebeu uma chave de descriptografia, mas esses malfeitores não se importam com o que está acontecendo com seus dados quando eles passam pela criptografia.”
Em 2019 publicamos aqui no blog o artigo Pagar Resgate de Ramsonware: mais contras do que pros onde citamos que o ataque do ransomware March SamSam em Atlanta teria custado à cidade até US $ 17 milhões para ser resolvido. Os agressores pediram um resgate de US $ 51.000 em bitcoins, que a cidade se recusou a pagar. Na ocasião citamos a entrevista de Avivah Litan, vice-presidente e analista da Gartner Research, salienta que pagar resgates tem mais contras do que prós.
“Você deve sempre tentar evitar o pagamento de resgates“, diz Litan em entrevista ao Information Security Media Group. “Alguns observadores dizem que até 80% das vezes quando você faz o pagamento, você nem recupera seus arquivos. Uma segunda razão: ele apenas perpetua o crime. Os bandidos continuarão fazendo isso porque sabem que vai fugir disso.”
Ataques continuam
O problema do ransomware não vai desaparecer. Embora alguns grupos de ransomware individuais – como Sodinokibi/REvil, DarkSide e Conti – possam ter desaparecido ou renomeado, os ataques de ransomware continuam a atacar organizações de todos os tamanhos.
Ultimamente, a Coreia do Norte parece estar gastando mais tempo tentando entrar em ação. Em julho, um novo alerta do governo dos EUA alertou que uma variedade de malware chamada Maui, que parece ser usada por invasores alinhados à Coreia do Norte, tem como alvo organizações de saúde e o setor de saúde pública .
Para ajudar, a Agência de Segurança Cibernética e de Infraestrutura dos EUA oferece ampla orientação e recursos de ransomware para antes e depois dos ataques.
Da mesma forma, a ICO publicou recentemente orientações atualizadas sobre ransomware , enquanto o NCSC mantém um centro de informações para prevenir e responder ao ransomware. Ambas as organizações dizem que já estão trabalhando em estreita colaboração com o setor de seguros da Grã-Bretanha para encontrar novas maneiras de impulsionar melhores defesas contra ransomware.
Cálculo de pagamento de resgate
As agências de aplicação da lei e do governo continuam a afirmar isso claramente: A decisão de pagar ou não um resgate continua sendo uma decisão comercial. Mas há exceções envolvendo indivíduos e organizações que foram sancionados pelos Estados Unidos, como o grupo cibercriminoso russo Evil Corp. Nesses casos, pagar um resgate à entidade sancionada violará os regulamentos do Departamento do Tesouro dos EUA que são aplicados em todo o mundo.
“A decisão de pagar ou não um resgate continua sendo uma decisão comercial”
Mesmo aqui, as vítimas têm uma certa margem de manobra, especialmente se puderem provar às autoridades dos EUA que tomaram medidas razoáveis e proativas para se proteger contra ransomware. “Quando as partes afetadas tomarem essas medidas proativas, o escritório Foreign Assets Control (OFAC) do Tesouro terá mais probabilidade de resolver aparentes violações de sanções envolvendo ataques de ransomware com uma resposta de aplicação não pública”, de acordo com o alerta de Maui .
As organizações ainda podem ser multadas ou levar um tapa no pulso, mas a fiscalização não precisa necessariamente ser tornada pública, desde que as empresas façam um bom esforço para fazer todo o resto corretamente.
Mesmo as organizações mais bem preparadas ainda podem ser vítimas de ataques de ransomware.
Em alguns casos, pagar um resgate pode significar a diferença entre uma empresa permanecer no mercado ou ter que fechar e demitir todos. Em outros casos, o pagamento pode ser fundamental para minimizar a interrupção do serviço, que continua sendo a principal preocupação dos hospitais.
Claro, é por isso que os criminosos continuam a usar ransomware, especialmente contra alvos que farão tudo o que puderem – pelo menos após o fato – para evitar interrupções ou ter que sair do negócio.
À medida que as autoridades insistem, muitas organizações precisam fazer tudo o que podem para sobreviver a um ataque desse tipo, antes mesmo de serem atingidas por ransomware, porque a equação econômica subjacente não mudou. Simplificando: gaste menos para se preparar adequadamente agora e evite ter que pagar um resgate. Caso contrário, independentemente de você acabar sucumbindo a um pedido de resgate, prepare-se para pagar muito mais tarde.
Fonte: BankInfo Security
Veja também:
- VMware corrige bug crítico de desvio de autenticação
- Julho teve menos de ataques de ransomware
- 3 setores com alto risco de violações de segurança da API
- Red, Purple, and Blue: as cores de um programa de testes de segurança cibernética
- Pesquisa global da Fortinet revela desafios críticos de segurança de OT
- Ataques a gamers chegam a quase 6 milhões em 12 meses
- Segurança deve estar presente desde a concepção de um novo desenvolvimento de software
- Atacantes usam cada vez mais extensões do IIS como backdoors de servidor
- cibercriminosos reciclam o ransomware, eles estão ficando mais rápidos
- Hackers distribuem Amadey usando cracks de software e sites de keygen
- Hackers verificam vulnerabilidades em até 15 minutos após a divulgação
- Atlassian alerta para várias novas vulnerabilidades críticas potencialmente
Deixe sua opinião!