O Tesouro dos EUA diz que as empresas que pagam resgates a grupos de crimes cibernéticos previamente sancionados podem enfrentar sanções a menos que seja notificada do pagamento antecipadamente.
O Departamento do Tesouro dos EUA publicou hoje diretrizes para serem usadas em circunstâncias especiais onde um pagamento de ransomware pode quebrar as sanções dos EUA.
As diretrizes se aplicam a situações em que um indivíduo ou empresa teve seus dados criptografados por uma gangue de ransomware que é sancionada ou tem afiliações com um grupo de crimes cibernéticos sancionado pelo Tesouro dos EUA nos últimos anos.
O Tesouro diz que fazer um pagamento de ransomware neste tipo de situação pode violar as sanções do Tesouro e incorrer em uma investigação legal contra as entidades envolvidas, que poderia ser:
- A vítima;
- As instituições financeiras que processaram o pagamento do resgate; E
- Intermediários como empresas de seguros cibernéticos e empresas envolvidas em perícia digital e resposta a incidentes.
Autoridades dos EUA dizem que, nessas situações, as vítimas devem entrar em contato com o Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro antes de decidir em fazer o pagamento.
“O OFAC incentiva as vítimas e os envolvidos a lidar com ataques de ransomware a entrar em contato com a OFAC imediatamente se acreditarem que um pedido de pagamento de um ransomware pode envolver um nexo de sanções”, disse a agência hoje.
As empresas que entrarem em contato com as agências de aplicação da lei quando forem infectadas também serão procuradas favoravelmente para “determinar um resultado adequado da aplicação se a situação for posteriormente determinada a ter um nexo de sanções”.
De acordo com a assessoria do OFAC, os seguintes indivíduos/grupos foram sancionados, e os pagamentos de ransomware a esses grupos, diretamente ou a um nexo, são considerados uma violação de sanções:
- Evgeniy Mikhailovich Bogachev, o desenvolvedor do extinto ransomware Cryptolocker
- Ali Khorashadizadeh e Mohammad Ghorbaniyan, os dois desenvolvedores por trás do extinto ransomware SamSam
- O Grupo Lazarus e dois subgrupos, Bluenoroff e Andariel,por seus links para o ransomware WannaCry
- Maksim Yakubets e o grupo EvilCorp por seus links para o trojan Dridex e seu empório de distribuição de malware, que também incluiu o ransomware BitPaymer.
O Tesouro publicou esta diretriz hoje por causa das consequências do ataque de ransomware ao fabricante de wearables Garmin. O ataque foi realizado com uma variedade de ransomware chamada WastedLocker, acredita-se ser o sucessor do ransomware BitPaymer, e conectado ao grupo EvilCorp.
Dizem que Garmin pagou o pedido de resgate.
A ZDNet, juntamente com repórteres do Wall Street Journal e outros meios de comunicação, entrou em contato com o Tesouro após o incidente para saber se Garmin havia quebrado as sanções dos EUA ao fazer um pagamento a um nexo da EvilCorp.
Fontes próximas ao Tesouro, mas não no departamento, disseram à ZDNet que o Tesouro estava ciente de que bloquear totalmente os pagamentos de resgate poderia levar a situações em que algumas empresas poderiam não ser capazes de recuperar seus dados e seriam forçadas a fechar ou sofrer perdas consideráveis.
O Tesouro se recusou a comentar na época, mas divulgou hoje um comunicado detalhando sua posição sobre o assunto.
Mas o documento de hoje também não significa que as vítimas e as empresas de segurança cibernética tenham um caminho claro para quebrar as sanções, notificando o OFAC de um pagamento antecipado.
O Tesouro disse especificamente hoje que “os pedidos de licença envolvendo pagamentos de ransomware exigidos como resultado de atividades cibernéticas maliciosas serão revisados pela OFAC caso a caso com uma presunção de negação.” [Ênfase nossa]
Aqueles que não cumprem as novas diretrizes correm o risco de multas enormes.
FONTE: ZDNET