.
Opinião Uma proibição geral de pagamentos de ransomware, como foi sugerido por alguns esta semana, parece uma boa ideia. Elimine a extorsão como fonte de rendimento criminoso e os ataques irão, sem dúvida, diminuir.
Mas, infelizmente, não vai funcionar – pelo menos não agora, e provavelmente não num futuro próximo – por uma série de razões. Além disso, levaria inevitavelmente a mais ataques a alvos de infra-estruturas críticas, como hospitais, redes eléctricas, sistemas de água e afins, o que não é exactamente bom.
Isto porque uma proibição de pagamento teria inevitavelmente de incluir uma exceção para incidentes em que o não pagamento do resgate representasse um risco grave de morte, lesões corporais ou ataque terrorista. Em outras palavras, deve haver uma exceção para infraestruturas críticas.
Vimos isso com as novas regras de divulgação de incidentes de segurança cibernética da Comissão de Valores Mobiliários dos EUA: a SEC permite relatórios atrasados se a divulgação do ataque representar “um risco substancial para a segurança nacional ou pública”.
Os governos dos EUA e do Reino Unido apelam às organizações para que não paguem resgates, e podemos perceber porquê. Isso apenas incentiva mais ataques. Ao mesmo tempo, muitos não culparam a decisão do CEO da Colonial Pipeline de pagar aos bandidos em 2021 para evitar mais escassez de abastecimento de combustível.
Uma exclusão de infra-estruturas críticas faz sentido. Ninguém vai culpar um hospital pela vítima ou argumentar a favor de permitir que os pacientes morram em vez de pagar um resgate. Um argumento semelhante pode ser apresentado para as empresas de gás e eletricidade: elas não podem ignorar a necessidade de aquecimento residencial durante uma tempestade de inverno. Mas isto também significa que os atacantes irão simplesmente girar e atacar estes sectores onde recusar ceder às exigências dos extorsionistas pode ser uma questão de vida ou morte.
Já vemos criminosos se concentrarem cada vez mais em hospitais e unidades de saúde. Em 2023, gangues de ransomware invadiram 46 sistemas hospitalares nos EUA, com um total de 141 hospitais entre eles, e pelo menos 32 dos 46 tiveram dados de pacientes, incluindo informações de saúde protegidas, roubados.
Essas invasões causaram interrupções de semanas, desviaram ambulâncias e atrasaram o tratamento médico dos pacientes. Embora tudo isso deva ser um alerta de segurança para qualquer organização de infraestrutura crítica, prevenir o caos futuro do ransomware requer uma solução que seja mais preparação para desastres do que apenas proibir pagamentos a criminosos.
Depois, há também a questão da fiscalização. Tal proibição precisaria ser universal, caso contrário as equipes de ransomware se concentrariam simplesmente nas vítimas de outras regiões geográficas que não proíbem pagamentos. Esse tipo de cooperação multigovernamental é, na melhor das hipóteses, altamente improvável e, se por algum milagre acontecesse, os obstáculos à aplicação e ao financiamento coordenados arruinariam imediatamente este esforço.
Presumivelmente, qualquer tipo de direito internacional seria promulgado pelas Nações Unidas. Mas isto nem sempre garante um mandato global sólido. Ou, talvez ainda pior, correria o risco de se tornar uma tentativa de reescrever o direito internacional por parte de nações que já proporcionam um porto seguro às equipas de ransomware e utilizam os rendimentos ilícitos para financiar programas de terrorismo e armas patrocinados pelo Estado.
Caso em questão: o tratado da ONU sobre crimes cibernéticos. É necessária uma abordagem global para impedir o crime cibernético, e é uma boa ideia em teoria. Mas, em vez disso, parece uma tentativa da Rússia, com o apoio da China e da Coreia do Norte, de justificar a vigilância estatal e eliminar as regras de privacidade de dados.
Outro obstáculo é a falta de maturidade de segurança em todos os setores, que Megan Stifel, diretora de estratégia do Instituto de Segurança e Tecnologia e diretora executiva da Força-Tarefa Ransomware do IST, apontou em uma entrevista anterior com Strong The One.
Isto é especialmente preocupante considerando que dois setores notoriamente subfinanciados e com falta de pessoal quando se trata de segurança da informação, os governos locais e as escolas, estão a ser cada vez mais alvo destes malfeitores avarentos.
Algumas das 2.023 vítimas de ransomware nesses setores incluem a cidade de Oakland, Califórnia, e o condado de Suffolk, em Nova York, ambos declarando estado de emergência, e Dallas, Texas, que também viu seus sistemas de TI paralisados por gangues de crimes cibernéticos.
Enquanto isso, a falha de segurança do MOVEit afetou milhões de indivíduos quando uma equipe de ransomware ligada à Rússia roubou dados pertencentes ao Escritório de Veículos Motorizados da Louisiana, ao Departamento de Política e Financiamento de Saúde do Colorado e ao Departamento de Transportes de Oregon.
Pelas contas da loja de segurança Emsisoft, pelo menos 108 distritos de ensino fundamental e médio e 72 escolas pós-secundárias foram vítimas de equipes de ransomware em 2023, em comparação com 45 e 44, respectivamente, um ano antes. E cerca de 95 entidades governamentais sofreram infecções de ransomware no ano passado, em comparação com 106 em 2022. No entanto, 55 das 106 eram agências do Arkansas que partilhavam um fornecedor de serviços de TI.
Agências governamentais estaduais e locais e escolas coletam uma tonelada de informações confidenciais que podem ser financeiramente lucrativas para os criminosos, e essas organizações não têm recursos para se defenderem contra ransomware. Tornar simplesmente ilegal o pagamento de pedidos de resgate parece especialmente cruel, a menos que recebam primeiro o apoio profissional e financeiro necessário para reforçar as redes.
Felizmente, nesta frente, há quase 375 milhões de dólares em doações disponíveis para governos estaduais, locais e territoriais (SLT) em todos os EUA para enfrentar riscos e ameaças à segurança cibernética.
Além disso, um programa dedicado da Comissão Federal de Comunicações dos EUA visa fornecer até 200 milhões de dólares para escolas de ensino fundamental e médio e bibliotecas em comunidades rurais e de baixa renda e reuniria informações sobre “segurança cibernética e serviços avançados de firewall” para proteger essas organizações contra ataques cibernéticos.
Uma proibição completa não funcionará. Seria bom se pudesse fornecer uma resposta mágica ao ransomware. Por outro lado, também seria bom se países como a Rússia, o Irão e a Coreia do Norte decidissem processar os cibercriminosos que operam dentro das suas fronteiras. Nada disso é realista.
Dito isto, a proibição de pagamentos de ransomware está a tornar-se mais palatável do que era há alguns anos, e a cimeira internacional da Iniciativa Anti-Ransomware deste ano, realizada na Casa Branca, é uma dessas indicações.
No evento, os EUA persuadiram todos os 50 países membros a assinarem uma declaração política conjunta sob a qual concordaram em não pagar pedidos de resgate. Eles também se comprometeram a rastrear melhor os pagamentos de criptomoedas aos cibercriminosos e aumentar as capacidades de compartilhamento de informações.
Embora o compromisso de não pagamento se aplique apenas aos próprios governos nacionais e não às empresas privadas, não conseguiu obter o apoio necessário nem um ano antes.
Nosso conselho? Proteja suas redes agora. Não seja uma fruta ao alcance da mão. Implemente todas as medidas básicas de higiene que os especialistas em infosec públicos e privados vêm pregando há anos: use senhas fortes e criptografia de dados, implemente acesso de confiança zero, segmentação de rede e autenticação multifatorial, instale atualizações de software e faça backup regularmente.
“A melhor defesa é tomar medidas para evitar proativamente se tornar uma vítima”, disse Sam Rubin, vice-presidente da Unit 42 Consulting da Palo Alto Networks. Strong The One.
Em vez de uma proibição total de pagamentos de resgate, esteja preparado. ®
.
