O Tesouro dos Estados Unidos advertiu que empresas poderão vir a ser multadas por pagar ou facilitar o pagamento de resgate a cibercriminosos. Um comunicado publicado na quinta-feira, 1º, pelo Office of Foreign Assets Control (OFAC), agência pertencente ao Tesouro deixou claro quais poderão ser os alvos da punição.
“Empresas que facilitam pagamentos de ransomware a cibercriminosos em nome de vítimas, incluindo instituições financeiras, companhias de seguro cibernético e empresas envolvidas em análise forense digital e resposta a incidentes, não apenas encorajam futuras demandas de pagamento de ransomware, como também violam os regulamentos da OFAC”, diz o comunicado.
A OFAC ressaltou também que o pagamento a gangues de ransomware é uma ameaça à segurança nacional dos Estados Unidos, pois pode financiar a expansão de suas atividades criminosas e incentivá-los a realizar novos ataques. A agência observou ainda que “pagar um resgate a cibercriminosos não garante que a vítima recuperará o acesso aos dados roubados”.
Veja isso
Argentina se recusa a pagar resgate de US$ 4 milhões para hackers
Ransomware: da invasão ao resgate em menos de 45 minutos
A OFAC sublinhou o fato de que os americanos estão proibidos de acordo com a International Emergency Economic Powers Act (lei de poderes econômicos de emergência internacional) de se envolver em transações com indivíduos ou entidades que constam da Specially Designated Nationals and Blocked Persons, lista que identifica pessoas, entidades e organizações monitoradas e bloqueadas pelos Estados Unidos por estarem envolvidas com atividades que ameaçam as políticas externas e a segurança nacional dos EUA. Os cidadãos americanos também têm restrições relativas a embargos impostos a certas regiões e países que incluem Cuba, Irã, Síria e Coréia do Norte.
A agência afirmou que a violação aos seus regulamentos pode resultar em penalidades financeiras. “A OFAC pode impor penalidades civis para violações com base na responsabilidade objetiva, o que significa que uma pessoa sujeita à jurisdição dos EUA pode ser responsabilizada civilmente, mesmo que não soubesse ou não tivesse razão para saber que estava se envolvendo em uma transação com uma pessoa sob sanções, leis e regulamentos administrados da OFAC.”
A OFAC exortou as instituições financeiras e outras empresas a implementarem um programa de conformidade baseado em risco para mitigar a exposição a violações relacionadas a sanções. “As vítimas de ransomware e aqueles envolvidos no tratamento de ataques de ransomware devem a entrar em contato com o OFAC imediatamente se acreditarem que um pedido de pagamento de ransomware pode envolver um nexo de sanções.”
