0
0
O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA disse hoje que as organizações que ajudam as vítimas de ransomware a fazer pagamentos de resgate estão enfrentando riscos de sanções, pois suas ações podem violar as regulamentações da OFAC.
A assessoria do OFAC vem depois que o FBI disse em fevereiro de 2020 que, com base em sua análise de carteiras de bitcoin de ransomware coletadas e notas de resgate, as vítimas de ransomware pagaram a seus atacantes pelo menos US$ 140 milhões entre janeiro de 2013 e julho de 2019.
“Empresas que facilitam pagamentos de ransomware a atores cibernéticos em nome das vítimas, incluindo instituições financeiras, empresas de seguros cibernéticos e empresas envolvidas em perícia digital e resposta a incidentes, não apenas incentivam futuras demandas de pagamento de ransomware, mas também podem correr o risco de violar as regulamentações do OFAC”, explica a OFAC.
O OFAC pode impor sanções civis por violações de sanções com base em responsabilidade severa, o que significa que uma pessoa sujeita à jurisdição dos EUA pode ser responsabilizada civilmente mesmo que não saiba ou tenha motivos para saber que estava envolvida em uma transação com uma pessoa que é proibida sob as leis e regulamentos de sanções administradas pelo OFAC.
O aviso publicado hoje pela agência de inteligência financeira e fiscalização também inclui informações de contato a serem usadas ao lidar com atores de ameaças pedindo pagamentos de ransomware que possam ser sancionados ou tenham um nexo de sanções.
Embora o aviso destaque os riscos de sanções de pagamentos de ransomware, a OFAC diz que “é apenas explicativa e não tem a força da lei”, e que não deve ser interpretada como “impor requisitos sob a lei dos EUA”.
Vítimas encorajadas a divulgar ataques para evitar sanções
O OFAC tranquiliza as empresas que são atingidas por um ataque de ransomware que divulgar o incidente às autoridades e sua colaboração durante a investigação seriam consideradas ao avaliar os riscos futuros de sanção que podem enfrentar após um pagamento de ransomware.
Como as empresas preferem evitar problemas legais e publicidade negativa, muitos ataques de ransomware não são relatados às autoridades.
Infelizmente, isso significa que a aplicação da lei não é fornecida indicadores de compromisso, o que dificulta suas investigações sobre operações de ransomware.
Ao reduzir os riscos potenciais de violações de sanções se relatado às autoridades, a orientação da OFAC poderia permitir um aumento de divulgações ao FBI.
“De acordo com as Diretrizes de Execução da OFAC, o OFAC também considerará o relatório autoconfundado, oportuno e completo de um ataque de ransomware à aplicação da lei como um fator atenuante significativo na determinação de um resultado adequado da execução se a situação for posteriormente determinada a ter um nexo de sanções”, diz a agência do Departamento do Tesouro.
“O OFAC também considerará a cooperação total e oportuna de uma empresa com a aplicação da lei durante e após um ataque de ransomware como um fator atenuante significativo ao avaliar um possível resultado de execução.”
O Tesouro insta as vítimas a entrar em contato imediatamente com a OFAC quando acreditam que uma solicitação de pagamento de ransomware pode envolver um nexo de sanções para evitar riscos futuros de sanções.
Os pagamentos de ransomware beneficiam atores ilícitos e podem minar os objetivos de segurança nacional e política externa dos Estados Unidos. Por essa razão, os aplicativos de licença envolvendo pagamentos de ransomware exigidos como resultado de atividades cibernéticas maliciosas serão revisados pela OFAC caso a caso com uma presunção de negação.
Gangues de ransomware sancionadas
Entre os grupos de ransomware que o OFAC adicionou à sua lista de sanções, o aviso menciona o desenvolvedor do Cryptolocker, atores iranianos ligados ao ransomware SamSam, três grupos de hackers norte-coreanos e o grupo de crimes cibernéticos Evil Corp:
• Sancionou o desenvolvedor do cryptolocker ransomware, Evgeniy Mikhailovich Bogachev, em dezembro de 2016 (Cryptolocker foi usado para infectar mais de 234.000 computadores a partir de 2013, aproximadamente metade dos quais estavam nos EUA)
• Sancionou dois iranianos por fornecer suporte material ao ransomware SamSam em novembro de 2018 (o SamSam foi usado para atingir principalmente instituições e empresas do governo dos EUA a partir do final de 2015 e com duração aproximada de 34 meses)
• O Lazarus Group e dois subgrupos, Bluenoroff e Andariel, foram sancionados em setembro de 2019 (esses grupos estavam ligados ao ransomware WannaCry 2.0 que infectou aproximadamente 300.000 computadores em pelo menos 150 países em maio de 2017)
• A Evil Corp e seu líder, Maksim Yakubets, foram sancionados em dezembro de 2019 (a organização russa de crimes cibernéticos usou credenciais de login de coleta de malware Dridex de centenas de bancos e instituições financeiras em mais de 40 países, causando mais de US$ 100 milhões em roubos a partir de 2015; Evil Corp adicionou recentemente ransomware WastedLocker ao seu arsenal)
“A OFAC impôs e continuará a impor sanções a esses atores e outros que auxiliem materialmente, patrocinam ou fornecem apoio financeiro, material ou tecnológico para essas atividades”, conclui a agência.
Desenvolvimentos esperados por parte dos envolvidos na recuperação de ransomware
A declaração do OFAC não foi surpresa para pelo menos uma empresa envolvida na resposta a incidentes de ransomware, como disse o CEO da Coveware, Bill Siegel, ao BleepingComputer.
“A declaração de hoje do Departamento do Tesouro não deve ser uma surpresa, dado o ambiente atual”, disse Siegel. “O pagamento de um resgate é o item da linha de receita para a economia de extorsão cibernética e deve ser evitado por todos os meios por qualquer vítima.”
“Navegar pelos aspectos de conformidade desta decisão é complexo e opaco para uma vítima de ransomware que provavelmente nunca lidou com um incidente dessa natureza. Por essas razões expressas, a Coveware manteve um programa de sanções e conformidade de crimes financeiros desde sua fundação para que nós e as vítimas de ransomware que servimos possamos avaliar e mitigar os riscos que o Departamento do Tesouro esboçou.
“O Coveware também mantém sua própria lista interna restrita, que inclui grupos adicionais de atores de ameaças, jurisdições e variantes de ransomware que restringimos, embora esses grupos possam não estar diretamente listados na lista de sanções do OFAC. Proibimos quaisquer contratações que envolvam pagamentos não autorizados a entidades listadas na lista SDN e várias outras listas de sanções internacionais.
“Também reportamos voluntariamente nossos dados de casos à polícia a cada trimestre desde o início, em um esforço para aumentar as investigações ativas. Estamos felizes que o Departamento do Tesouro e outras agências estejam conscientizando sobre esse problema, delineando esses riscos para o público.”
A Agência de Segurança cibernética e infraestrutura (CISA) e o Centro de Compartilhamento e Análise de Informações Multi-Estado (MS-ISAC) também emitiram ontem um guia conjunto de ransomware que detalha as práticas recomendadas acionáveis de prevenção de ransomware e uma lista de verificação de resposta de ransomware.
Atualização: Acrescentou a declaração de Bill Siegel.
FONTE: BLEEPING COMPUTER