As empresas estão cada vez mais optando por não pagar resgate por ransomware e extortionware devido aos crescentes riscos associados. Na verdade, um relatório recente da empresa de empresa de análise e investigação de blockchains e finanças descentralizadas (DeFi) Chainalysis descobriu que os pagamentos a grupos de ransomware e extorsão caíram para cerca de US$ 456 milhões em 2022, ante US$ 765 milhões no ano anterior.
Não apenas o total de pagamentos caiu, o relatório da Chainalysis mostra que, em 2019, 76% das vítimas pagaram o resgate, mas em 2022 esse número caiu para 41%. O relatório, no entanto, indaga se isso significa que houve uma redução nos ataques de ransomware ou apenas que as vítimas estão simplesmente se recusando a pagar o resgate. A resposta, segundo a empresa, é mais complicada e reflete um novo ambiente político, regulatório e tecnológico.
A verdade é que grande parte da queda nos pagamentos de resgate reflete a crescente pressão de órgãos reguladores dos EUA, incluindo a SEC (Securities and Exchange Comission), órgão do governo americano semelhante à nossa Comissão de Valores Mobiliários (CVM), o Escritório de Controle de Ativos Estrangeiros (Ofac) do Departamento do Tesouro, o FBI e outros para desencorajar pagamentos de ransomware, exigindo que aqueles que fazem tais pagamentos denunciem o pagamentos imediatos, para justificar a realização desses pagamentos e, em alguns casos, para obter uma licença da Ofac para transferir os fundos.
Além disso, especialistas da JD Supra, empresa de informações e análise envolvendo todos os campos e setores da economia, observam que a invasão russa à Ucrânia levou à imposição de amplas sanções econômicas a entidades russas — proibindo uma série de transações financeiras com “cidadãos especialmente designados (SDNs)”. “Assim, mesmo quando faz sentido economicamente para uma empresa dos EUA vitimada por ransomware vinculado à Rússia fazer um pagamento para ter seus dados ou redes liberados do ataque, o regime de sanções dos EUA pode proibir o pagamento”, observam eles.
Outra razão pela qual as empresas podem não estar pagando resgates com tanta frequência, segundo os especialistas, é o aumento na fiscalização e na cooperação das entidades policiais. De fato, em 26 de janeiro de 2023, o FBI anunciou que havia se infiltrado secretamente no grupo de ransomware Hive e interrompido suas atividades. O comunicado de imprensa indicou que a operação secreta significava que os agentes capturaram as chaves de descriptografia da rede e as ofereceu às vítimas em todo o mundo, evitando que tivessem que pagar US$ 130 milhões em resgate.
Desde que se infiltrou na rede do Hive em julho de 2022, o FBI forneceu mais de 300 chaves de descriptografia para as vítimas do Hive que estavam sob ataque. Além disso, o FBI distribuiu mais de mil chaves de descriptografia adicionais para vítimas anteriores do Hive. Obviamente, se uma empresa pode obter chaves de descriptografia gratuitamente do FBI, a necessidade de pagar resgate torna-se obsoleta, dizem os especialistas.
Veja isso
Ecossistema de ransomware fica mais perigoso e diversificado
Bancos dos EUA processaram US$ 1,2 bi em pagamento de resgate
A JD Supra aconselha às empresas que enfrentam ameaças de ransomware e extorsão —ameaças de liberar informações confidenciais se um pagamento não for feito — a tomar medidas preventivas para garantir que estejam preparadas. Essas etapas incluem certificar-se de que todos os parceiros executem e façam cumprir os contratos de segurança de dados; e verificar a cobertura e abrangência do seguro, já que a maioria das decisões sobre como responder a incidentes de ransomware/extorsão é feita por seguradoras que trabalham com empresas de forense digital e plano de resposta a incidentes (DFIR, na sigla em inglês). Essas empresas DFIR têm ampla experiência em lidar com operadores de ransomware.
Além desses pontos, a empresa também precisam garantir que suas redes, dispositivos e configurações atendam ou excedam as diretrizes atuais da estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA e incluam monitoramento e avaliação contínuos.
A segmentação de rede e dispositivo também é importante, segundo a JD Supra, pois pode significar que um incidente vai afetar apenas uma parte de uma rede, que pode ser recuperada mais facilmente do que o desligamento de toda a infraestrtura. Além disso, a criptografia de dados eficaz pode significar que os dados “roubados” não podem ser usados ou divulgados pelos hackers, reduzindo o risco de extorsão. Outros aspectos apontados pela empresa são política de backup, armazenamento e DR/BCP (business continuity plan e disaster recovery) e conhecimento do ambiente legal/regulatório.