0
0
As vítimas de ataques de ransomware enfrentam a escolha excruciante de pagar seus atacantes ou arriscar uma interrupção considerável na tentativa de restaurar dados criptografados por conta própria ou – como é frequentemente o caso – com a ajuda de uma empresa de resposta a incidentes.
Inúmeros estudos mostraram que a maioria das vítimas prefere pagar um resgate ou porque não tem backups de dados adequados ou porque o vêem como uma opção menos cara e menos arriscada em comparação com o não pagamento. Em uma pesquisa que a ThycoticCentrify realizou no ano passado, por exemplo, 83% das vítimas de ransomware disseram que não tinham escolha a não ser pagar um resgate para ter acesso aos seus dados, e mais de 90% disseram ter alocado um orçamento especial para combater ameaças de ransomware.
Há muitos que percebem fazer um pagamento de resgate como um mal necessário por causa dos enormes danos financeiros que podem resultar em outro caso. Sessenta e seis por cento dos 1.263 entrevistados em uma pesquisa da Cybereason relataram perdas substanciais de receita como resultado direto de um ataque de ransomware. A maior parte decorreu de interrupções nos processos de negócios, tempo de inatividade do sistema e recursos necessários para restaurar sistemas. Esses custos podem aumentar quanto mais tempo uma organização leva para se recuperar de um ataque, e é por isso que muitas vítimas de ransomware acham preferível apenas pagar seus atacantes.
Mas isso é uma boa ideia – e funciona mesmo? Aqui estão seis razões, de acordo com especialistas em segurança, por que pagar um resgate pode não ser a melhor ideia.
Não há garantia de que você recuperará o acesso aos dados após um pagamento de resgate
A maioria das vítimas de ransomware assume que pode recuperar o acesso aos seus dados e sistemas se pagar ao invasor o valor do resgate exigido. É assim que funciona em muitos casos. Mas há inúmeros casos em que as organizações pagam um resgate apenas para descobrir que a chave de descriptografia não funciona ou que os dados são inutilizáveis de qualquer maneira.
Um estudo da Cybereason realizado no ano passado mostrou que apenas 51% das vítimas que pagaram um resgate foram capazes de obter acesso com sucesso aos seus dados sem qualquer perda de dados criptografados. Cerca de 46% recuperaram o acesso aos seus dados após o pagamento apenas para descobrir que alguns, ou todos, seus dados haviam sido corrompidos. Três por cento não recuperaram nenhum acesso aos seus dados criptografados — mesmo depois de fazer um pagamento.
Outro estudo de Sophos desenterrou números ainda mais preocupantes. O fornecedor de segurança descobriu que apenas 8% das empresas que pagaram um resgate receberam todos os seus dados de volta. 29% recuperaram acesso a não mais da metade de seus dados. Em média, as empresas que pagaram um resgate recuperaram o acesso a apenas 65% dos dados que haviam sido criptografados.
“Pagar o resgate nem sempre resulta em operações restauradas”, diz Matthew Warner, CTO e co-fundador da Blumira. “[Isso pode] aumentar ainda mais o custo de um ataque de ransomware.”
Em última análise, você deve evitar pagar resgates, pois fornece mais encorajamento para esses indivíduos atacarem outros, diz John Bambenek, principal caçador de ameaças da Netenrich. “Lembre-se, o pagamento de resgates não garante resultados”, acrescenta.
Pagamento de resgate só incentiva mais ataques
Muitas organizações aderem a um pedido de resgate porque não têm backups de dados para se recuperar de um ataque. Muitos outros fazem isso simplesmente para evitar interrupções operacionais e o esforço envolvido no desbloqueio de dados e sistemas criptografados. Seja qual for a razão, pagar um atacante para sair de suas costas não é uma boa ideia porque só atrai mais ataques, dizem especialistas em segurança.
Os atores de ameaças perceberão uma empresa que pagou uma vez como sendo provável que pague novamente se seus dados forem criptografados em um ataque subsequente. Um estudo da Cybereason no ano passado mostrou que cerca de 80% das organizações que pagaram um resgate sofreram um segundo ataque, muitas vezes pelo mesmo grupo que o atacou pela primeira vez.
“Uma vez que você paga um resgate, não há razão para pensar que [os atacantes] não continuarão voltando para mais no futuro”, diz Joseph Carson, cientista-chefe de segurança e consultor da CISO na Delinea. “As chances são de que você não será uma vítima apenas uma vez.” Em alguns casos, os vendedores de segurança relataram observar os atacantes que foram pagos voltando para a vítima uma segunda vez – sob o pretexto de outro ator de ameaça.
O conselho que sempre foi dado é nunca negociar, diz Corey O’Connor, diretor de produtos da DoControl.
“Não há garantia de que você terá seus dados de volta”, diz O’Connor. “A outra coisa é que se você pagar, você coloca um alvo imediato em suas costas para ataques futuros.”
Pagamentos de resgate estão alimentando ataques mais sofisticados
As ferramentas de ransomware que a maioria dos atores de ameaças usam permanecem básicas e relativamente inalteradas ao longo dos anos. Mas alguns começaram a usar malware muito complexo e sofisticado em suas campanhas de extorsão. Um exemplo é um grupo chamado gangue BlackCat, que surgiu no início deste ano com uma ferramenta de ransomware nomeada homônimamente que alguns descreveram como extremamente sofisticada.
Acredita-se que o BlackCat seja o primeiro ransomware escrito em Rust, que permite aos autores do malware compilá-lo rapidamente para vários ambientes do sistema operacional. O malware é altamente configurável, pode ser personalizado on-the-fly para ataques individuais, usa várias rotinas de criptografia e implementa vários recursos para ofuscar e evitar mecanismos de detecção.
Os pagamentos de ransomware podem alimentar a inovação no setor de malware, diz Blumira CTO Warner. “Grupos de ransomware despejam esse lucro em iniciativas como pesquisa e desenvolvimento — em outras palavras, aprimorar técnicas para tornar o ransomware menos detectável e mais prejudicial.”
Há também o perigo de pagamentos de resgate financiando outros esforços criminosos, acrescenta Delinea’s Carson. “Isso pode incluir traficantes de drogas ou armas, tráfico humano, etc.”, diz ele. “Seu pagamento de ransomware poderia [também] muito facilmente estar indo para financiar outros crimes, mesmo em lugares sancionados, como a Rússia.”
O invasor ainda pode vazar ou vender seus dados roubados
Ataques de dupla extorsão tornaram-se relativamente comuns nos últimos dois anos. São ataques em que um ator de ransomware rouba dados de uma organização antes de criptografá-los e, em seguida, usa a ameaça de vazar os dados através de um site de vazamento de dados como alavanca adicional para extrair dinheiro da vítima. A prática começou no final de 2109 com o grupo de ransomware Maze, e tornou-se um componente da maioria dos ataques de ransomware nos dias de hoje.
Uma indicação do escopo do problema é um estudo do Grupo IB que descobriu um aumento surpreendente de 935% no número de vítimas de ransomware (de 229 para 2.371) cujos dados foram publicados por meio de um vazamento de dados entre H2 2020 e H1 2021 em comparação com o mesmo período do ano anterior.
Muitas vezes, o doxing envolveu empresas que já haviam pago um resgate. Fornecedores como a Coveware relataram ter visto vários grupos de ransomware, incluindo os operadores de Maze, Sodinokibi, Netwalker e Conti, vazando dados das vítimas — deliberadamente ou inadvertidamente — mesmo depois de terem recebido um resgate. “À medida que a extorsão dupla se torna mais comum, é relativamente fácil para os operadores de ransomware não cumprirem sua promessa inicial”, diz Warner, da Blumira.
Andrew Barratt, vice-presidente de tecnologia e empresa da Coalfire, diz que o desafio aqui é que, para algumas organizações, o custo da extorsão pode ser mais barato do que o custo de recuperação total.
“Eles estão então na situação absurda de ter que confiar no grupo criminoso para cumprir sua promessa e, ao mesmo tempo, não voltar para mais”, diz Barratt. “Essas são todas as coisas que a maioria dos grupos tradicionais de aplicação da lei argumentaria são as coisas erradas a se fazer.”
Pagar resgate pode ser uma violação das sanções dos EUA
Empresas que fazem pagamentos de resgate a atores de ameaça com sede fora do país correm o risco de transacionar com grupos e indivíduos contra os que o governo dos EUA impôs sanções.
Em outubro de 2020, o Departamento do Departamento do Tesouro dos EUA de Controle de Ativos Estrangeiros (OFAC) alertou as organizações sobre estar ciente dos riscos de sanção envolvidos em pagamentos de ransomware. O comunicado do OFAC apontou sanções que havia imposto contra indivíduos e grupos por trás de operações de ransomware como Cryptolocker, SamSam, WannaCry e Dridex de países como Irã, Rússia, Coreia do Norte e Síria. Fazer pagamentos de ransomware a essas entidades violaria as sanções da OFAC e aumentaria o risco de os atores de ameaças usarem esses pagamentos para financiar outros ataques contra os EUA, alertou a OFAC.
Um pouco sinistro, o memorando da OFAC — atualizado em setembro de 2021 — destacou um estatuto dos EUA chamado Trading with the Enemy Act (TWEA), que proíbe cidadãos americanos de realizar transações com indivíduos na chamada Lista de Cidadãos E Pessoas Bloqueadas (Lista SDN) do OFAC.
Pagamentos de resgate podem ser infringindo as regras de transmissões de dinheiro dos EUA
Instituições financeiras e outros intermediários que facilitam pagamentos de ransomware podem violar as regulamentações dos EUA sobre transmissão de dinheiro se não cumprirem certas obrigações especificadas pelo FiCEN (Financial Crimes Enforcement Network, rede de execução de crimes financeiros) do Departamento do Tesouro.
Em um comunicado de outubro de 2020, o FinCEN observou que, em algumas circunstâncias, as entidades que facilitam um pagamento de ransomware podem se enquadrar na categoria de um Negócio de Serviços monetários (MSB). Tal designação exigiria que a organização se registrasse no FinCEN e está sujeita a requisitos específicos sob a Lei de Sigilo Bancário (BSA).
“A prevalência de ataques de ransomware levou à criação de empresas que fornecem serviços de proteção e mitigação às vítimas de ataques de ransomware”, disse o FinCEN, apontando como exemplos para empresas de perícia digital e resposta a incidentes (DFIR) e empresas de seguros cibernéticos (CICs). Algumas empresas DFIR e CICs, bem como alguns MSBs que oferecem CVCs, facilitam pagamentos de ransomware. Dependendo de fatos e circunstâncias particulares, a atividade em que essas entidades se envolvem ao facilitar poderia constituir uma transmissão de dinheiro que precisariam relatar, disse o FinCEN.
FONTE: DARK READING