.
As tentativas das autoridades globais de aplicação da lei de encerrar a equipe do ransomware LockBit geraram um novo apelo pela proibição de pagamentos de ransomware aos perpetradores.
Ciaran Martin, CEO fundador do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), reiterou sua posição sobre o assunto uma semana depois que a LockBit começou a se recuperar após os esforços da Operação Cronos para colocar seus servidores off-line para sempre.
“O ransomware é de longe a ameaça cibernética mais prejudicial para a maioria das empresas no momento. Temos que encontrar uma maneira de fazer com que a proibição de pagamentos de resgate funcione”, disse ele.
A LockBit recuperou sua presença on-line (embora com capacidade limitada no momento em que este artigo foi escrito) poucos dias após o constrangimento de uma semana da Operação Cronos para a gangue e semanas depois que o FBI fracassou em sua luta pelo controle da infraestrutura do ALPHV.
Os comentários de Martin reflectem uma crença crescente na comunidade de segurança cibernética de que a proibição do pagamento de resgates é a única forma de impedir o crime a longo prazo, apesar dos desafios que surgiriam com tal medida.
Um dos principais argumentos é que a proibição do pagamento de resgates deixaria muitas empresas incapazes de recuperar os seus sistemas.
Jake Moore, consultor global de segurança cibernética da ESET, disse: “Proibir pagamentos de ransomware muitas vezes pode ter implicações adicionais – e esta não é a primeira vez que essa ideia surge. Embora seja melhor prevenir do que remediar, ainda existem vários casos em que a única opção Estar preso entre uma rocha e uma posição difícil não é uma posição em que qualquer empresa queira estar, mas se a lei estiver direcionando apenas para um lado, então as empresas podem facilmente falir e o potencial de perda de meios de subsistência pode tornar isso um represamento e decisão forçada.
“Embora os efeitos a longo prazo da proibição do pagamento de resgates possam parecer idílicos, o caminho necessário para levar todas as empresas a este ideal será um desafio, se não impossível. sem outra opção.”
É um argumento que aqueles que são a favor da proibição reconhecem e apreciam, um argumento convincente sem uma solução tangível neste momento.
Martin argumenta que uma proibição só funcionará se os governos colaborarem no estabelecimento de uma estrutura de apoio às organizações que são atacadas e não têm recursos disponíveis para se recuperarem.
Num artigo escrito em coautoria com Tarah Wheeler, CEO da Red Queen Dynamics, a dupla apontou os problemas na Irlanda do Norte, um conflito que viu as seguradoras recusarem-se a cobrir as empresas contra atentados, o que significa que o governo teve de intervir para oferecer o apoio que foi necessário.
“Pode até haver motivos para apoio financeiro às empresas afetadas que não pagam”, escreveram.
“Isso é incomum, mas uma situação de emergência requer medidas incomuns – e não pode haver dúvida de que o ransomware constitui uma emergência.”
O apoio financeiro descrito teria que persistir enquanto o ransomware persistir após a proibição, o que pode levar anos até que os criminosos fiquem entediados e passem para algo mais lucrativo. Seria uma dolorosa batalha de desgaste entre organizações legalmente incapazes de pagar e criminosos que drenam os fundos de apoio dos seus governos.
O estabelecimento deste pacote de apoio teria de ter em conta os ataques a serviços essenciais e infraestruturas críticas, onde vimos no passado que o pagamento de um resgate é muitas vezes considerado a única solução para uma recuperação rápida.
Outros argumentos contra a proibição estão cada vez mais desmoronando, disse Martin.
“Têm sido apresentados argumentos terríveis contra a proibição. Um deles é que 'isso irá levar o problema à clandestinidade'. Será que os diretores das empresas realmente violarão conscientemente a lei criminal? Outras razões estão desmoronando”, opinou ele no The Times.
O especialista em segurança cibernética Kevin Beaumont concordou, dizendo: “Muitos dos argumentos contra isso desmoronam com qualquer nível básico de escrutínio e são em grande parte apresentados por pessoas e organizações que se beneficiam direta ou indiretamente do status quo.
“Nada deveria estar fora de questão, e pode muito bem ajudar a gerenciar os alvos do grupo de ransomware se essa opção estiver realmente disponível, de fato.”
É uma opinião com a qual outros também concordaram, como Lisa Forte, sócia da Red Goat Cyber Security, que disse que pequenas perturbações das gangues de ransomware não estão funcionando, então as finanças do ransomware devem ser o próximo alvo.
Ela também destacou a lei de 1991 promulgada pelo governo italiano para restringir o pagamento de resgates a sequestradores de alto perfil – um crime endêmico na época.
A lei viu o governo assumir o controle de todos os bens da família de uma vítima de sequestro para que não pudessem ser oferecidos como pagamento, e a proibição de apólices de seguro de resgate de sequestro.
Demorou alguns anos para funcionar, mas funcionou de forma razoável, embora se acredite que algumas famílias simplesmente pararam de denunciar os sequestros para evitar que seus bens fossem confiscados.
Medidas estritamente técnicas, como a tentativa de prevenir ataques através de produtos e controlos de segurança adequados, têm sido consideradas medidas que devem ser priorizadas em detrimento de uma proibição. Garantir a existência de backups robustos também é uma solução há muito divulgada, mas nenhuma delas é uma prova completa, claramente.
Atualmente não há planos para desenvolver uma proibição legal de pagamentos de resgate por parte dos governos das nações dos Cinco Olhos.
Quase 50 membros da Counter Ransomware Initiative (CRI), que inclui o Reino Unido, os EUA, o Japão, a Índia e Israel, prometeram não pagar resgates em outubro de 2023, embora isso, obviamente, não seja juridicamente vinculativo.
Os debates em curso perduram num contexto de taxas crescentes de extorsão cibernética, de acordo com a empresa de segurança Emsisoft, que estimou o pagamento médio de extorsão do ano passado em 1,5 milhões de dólares.
A empresa sediada na Nova Zelândia é outra defensora da proibição do pagamento de resgate. Brett Callow, analista de ameaças da Emsisoft disse O registro no início do ano que é provavelmente a única solução para o problema perpétuo. ®
.