0
0
No ano passado, antes do início da guerra Rússia-Ucrânia, quase 75% dos pagamentos de criptomoedas por ransomware foram para a Rússia, de acordo com um estudo realizado pela Chainanalysis. Deixe isso afundar em um momento. Então considere as ramificações legais de pagar esses resgates agora que a Rússia é um país sancionado.
Para Kurtis Minder, CEO da empresa de proteção de risco digital, GroupSense, essas novas sanções significam que ele será forçado a recusar mais vítimas de ransomware que buscam serviços de resposta e negociação ou então corre o risco de entrar em conflito com uma lista crescente de sanções emitidas pelo Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro.
Ao contrário da lista específica de sanções da OFAC, as sanções russas são amplas e ambíguas, tornando-as difíceis de cumprir sem inteligência e contexto adequados, diz Minder, que negociou centenas de pagamentos de ransomware nos últimos dois anos. “O governo dos EUA está sancionando entidades na Rússia a uma taxa crescente. Portanto, mesmo com a lista da OFAC, ainda precisamos usar a inteligência externa e os dados de risco de nossa empresa – além das listas de sanções – para entender se a vítima está pagando diretamente a uma entidade sancionada ou por meio de um programa de afiliados que está vagamente vinculado a um grupo ou região sancionados”, explica ele.
A maioria dessas sanções é uma extensão de uma iniciativa da Casa Branca para combater o ransomware, interrompendo as gangues de ransomware, reforçando a resiliência, dificultando a lavagem através da criptomoedas e abordando portos seguros como os da Rússia. É importante notar que a Rússia não é o único país sancionado. Em 2019, a OFAC sancionou a Coreia do Norte. O Federal Bureau of Investigation (FBI) tem tentado adicionar empresas associadas à China à lista desde 2012 com sucesso limitado, diz Darren Mott, que gerenciou os esquadrões cibernéticos e de contrainteligência do FBI por 20 anos antes de se aposentar em 2019.
Política aperta sanções sobre pagamentos de ransomware
Desde que a Rússia lançou sua guerra contra a Ucrânia, o pagamento de resgates a entidades russas tornou-se um botão político, com a secretária do Tesouro Janet Yellen lamentando como os criminosos de ransomware operam na Rússia com impunidade. O comunicado do Departamento do Tesouro também declara que pagar pagamentos de ransomware a uma entidade em um nexo de sanções é uma ameaça à segurança nacional dos EUA.
“Há quatorze anos, em 2008, agentes do FBI na Rússia reconheceram que Putin era o chefe do crime por trás da maioria desses tipos de ataques cibernéticos vindos de seu país. E agora, porque a questão é política, punimos as vítimas? Isso é absurdo. Pagar resgates não deve ser uma questão política porque, no momento em que chega ao estágio de negociação dos resgates, a empresa da vítima já está por trás da bola oito, sem outra saída”, argumenta Scott Augenbaum, que recentemente se aposentou depois de 29 anos liderando investigações de crimes cibernéticos no FBI.
Em um post recente no blog, Luke Schaetzel, associado do grupo de proteção de dados do escritório de advocacia Benesch, descreve como violar voluntariamente essas sanções ao pagar resgates pode levar a multas de até US$ 1 milhão e/ou até 20 anos de prisão por violação. Fatores agravantes que determinam as penalidades civis incluem violação intencional ou imprudente da lei, ocultação dos pagamentos, envolvimento da administração, conscientização da conduta, cooperação com a OFAC e aviso prévio.
Embora nenhuma empresa ainda tenha sido acusada de pagar resgates sob essas sanções, aqueles que as violam podem ser atingidos com penalidades civis e criminais, mesmo que a vítima não saiba que está em violação, diz Schaetzel à CSO.
A lista de grupos sancionados da OFAC é mais específica e inclui nomes de ransomware, URLs relacionados e endereços dark web, indivíduos, endereços IP do servidor e endereços de e-mail. As sanções contra países, particularmente em tempos de guerra, são mais abrangentes e tornam o pagamento de resgates muito mais complicado, diz Schaetzel.
“Essas sanções de guerra podem ser aplicadas a uma faixa de funcionários, bancos e entidades estatais na Rússia. O pagamento de resgates para ou através de qualquer um desses grupos financiados pelos bancos russos ou outros funcionários pode violar as leis de sanções”, explica ele. “Então, se você tiver alguma ideia de suspeita de que uma entidade russa sujeita a sanções está envolvida ou pode estar envolvida, não pague o resgate.”
Lista de sanções desatualizada
Veja, por exemplo, um dos principais grupos russos de ransomware, Conti, que no início da guerra ameaçou atacar a infraestrutura crítica de qualquer um que tentasse hackear ativos russos. Conti surgiu de organizações afiliadas que podem não estar diretamente na lista de sanções, mas ainda são sancionadas por causa das afiliações, aponta Schaetzel. Conti é uma consequência do ransomware Ryuk, criado por um grupo criminoso russo conhecido como Wizard Spider, que também é sancionado e por trás da botnet TrickBot. Assim, pagar a ou através de qualquer uma dessas entidades seria uma violação de sanções.
Isso é um problema. Muitas das agências russas listadas na lista da OFAC (última atualização em novembro de 2021) fecharam e seguiram em frente, o que significa que a lista em si é obsoleta. Por causa disso, e porque os atacantes não se importam com eles, as sanções não têm dentes e machucam mais a vítima do que o criminoso, afirma Mott.
“A OFAC não tem mão de obra para rastrear todas as transações de bitcoin para ver se elas estão sendo pagas a uma entidade ou país sancionado. E eu diria que esses endereços bitcoin na lista sancionada já estão obsoletos”, diz Mott. “Os operadores de ransomware podem fechar e reabrir com um novo nome durante a noite, mas leva cerca de um ano para uma entidade entrar na lista de sanções da OFAC.”
Um exemplo é o REvil, que supostamente fechou as operações em janeiro após extradições e prisões pelo FBI. Agora, o REvil parece ter ressurgiu sob um mercado russo de dark web chamado RuTOR. Outro exemplo é Conti, que mudou de nome e se diversificou em vários spin-offs desde que seus operadores ameaçaram defender a Rússia com contra-ataques.
Esteja pronto antes de um ataque de ransomware
Saber a quem se reportar estabelecendo pré-relações com seu escritório de campo cibernético local do FBI é fundamental ao lidar com uma infecção por ransomware, diz Mott.
Enquanto em sua última missão como chefe do esquadrão de contrainteligência do FBI em 2019, Mott se lembra de como um dos agentes especiais (SAs) de seu escritório ligou para um CIO em uma empresa local e informou ao CIO que o ransomware não ativado baseado na Rússia estava na rede do CIO. Para verificar, o CIO ligou para Mott, que confirmou pessoalmente que, sim, sua SA era quem ele disse que era e que uma gangue de ransomware estava colocando arquivos no sistema que ainda não haviam sido ativados. Mott então reiterou as medidas de remediação que o CIO precisava tomar.
O CIO ainda não acreditava neles. Quando o CIO não respondeu nos próximos dois dias, o supervisor do esquadrão cibernético compartilhou com o CIO os nomes dos arquivos em seu sistema, onde encontrá-los e como removê-los. “Então o CIO enviou um e-mail para o agente especial responsável pelo escritório de campo para obter verificação adicional, e o operador de ransomware viu esse e-mail e criptografou imediatamente os dados da empresa, o que ilustra como é importante conhecer suas agências do FBI antes de precisar delas”, acrescenta ele.
Os relacionamentos com as autoridades também reduzirão a responsabilidade no caso de a vítima, sem saber, pagar resgate a ou por meio de entidades sancionadas e afiliadas. Se, sob o peso do ataque de ransomware, a organização da vítima entrou em contato com o FBI, ela demonstra cooperação com a aplicação da lei, diz Bob Seeman, sócio-gerente da CyberCurb, que se concentra em pagamentos de criptomoedas, sofisticação do conselho e seguradoras cibernéticas.
“Ter um programa de conformidade comprovable em vigor com antecedência. Para obter assistência, você pode recorrer a companhias de seguros cibernéticos que o ajudarão a contratar as pessoas certas de mitigação de riscos, negociadores de ransomware, escritórios de advocacia e investigadores forenses. Uma equipe qualificada verificaria a lista de sanções e procuraria indicadores de que esse atacante cibernético está afiliado a uma entidade sancionada”, aconselha ele. “E certifique-se de notificar imediatamente a aplicação da lei de qualquer ataque de ransomware, particularmente o FBI, que é a principal agência que lida com ransomware.”
Para esse fim, as vítimas e a aplicação da lei precisam trabalhar juntas e compartilhar informações. Por exemplo, Mott sugere compartilhar as táticas, técnicas e procedimentos (TTPs) e a captura de memória dos dispositivos afetados com o FBI, que usa essas informações para criar perfis. Se um resgate for pago, compartilhar a chave digital para desbloquear o ransomware também é uma inteligência crítica para compartilhar com o FBI.
Ao se preparar para relatar, os EUA O site do programa Stop Ransomware da Cybersecurity and Infrastructure Security Agency (CISA) instrui as vítimas a tomar cuidado ao preservar evidências de natureza altamente volátil ou limitada em retenção para evitar perda ou adulteração (como na memória do sistema, registros de segurança do Windows ou dados em buffers de log de firewall). O FBI também instrui as vítimas a verificar se o departamento possui uma chave de decodificação, que pode estar disponível para uma cepa de ransomware específica.
Essa inteligência é compartilhada com a comunidade de TI por meio do programa Stop Ransomware, que tem avisos consolidados e instruções para prevenção, detecção e resposta (incluindo links para a lista de sanções da OFAC).
“O FBI, com nossos parceiros no governo e na indústria, continuará a trabalhar juntos para prevenir, identificar e interromper esse tipo de atividade maliciosa”, diz um porta-voz do FBI em resposta por escrito a perguntas sobre este artigo. “Incentivamos fortemente os defensores da rede das empresas a revisar vários Avisos de Segurança Cibernética (CSA) recentes que publicamos. Essas CSAs são uma das maneiras pelas quais o FBI e nossos parceiros compartilham rapidamente informações táticas novas e importantes de nossas investigações, como assinaturas específicas de malware russo, indicadores de compromisso e mudanças em suas táticas.”
Foco na prevenção de ransomware
Com a responsabilidade legal ligada ao pagamento de resgates a entidades russas e outras sancionadas, a prevenção se torna ainda mais crítica para os CISOs corporativos. Comece com o básico, sugere Augenbaum. Por exemplo, credenciais RDP fracas, que não são complicadas de proteger, são um dos principais vetores de infecção nos casos em que ele é examinado. Comece com as três principais vulnerabilidades que ele descobriu consistentemente durante suas investigações: direitos de administração excessivamente permissivos/compartilhados, falta de lista de permissões de aplicativos e falta de visibilidade em sistemas e redes.
“Ninguém espera ser uma vítima, que é o maior erro que as organizações cometem quando se trata de preparação”, acrescenta Augenbaum. “O outro erro é esperar que o FBI vá para o resgate com as chaves de criptografia e soluções para desbloquear os dados. Tudo o que uma organização pode controlar são suas próprias vulnerabilidades e utilizar ferramentas e melhores práticas para prevenir infecções por ransomware.”
FONTE: CSO ONLINE