Como controlar um ransomware? Veja o que especialistas afirmam

Os atos ou regulamentações anti-ransomware exigirão cooperação global, dizem os especialistas. Nesse meio tempo, as vítimas de ransomware devem cooperar rápida e totalmente com as autoridades.

especialistas afirma regulamentações anti-ransomware vítimas de ransomware

O ransomware evoluiu de um problema de crime cibernético para uma crise que ameaça a segurança nacional. Incidentes como o ataque Colonial Pipeline mostram que esse tipo de atividade criminosa pode afetar não apenas organizações específicas que carecem de boas práticas de segurança, mas todos os cidadãos. Tem o potencial de perturbar a vida e impedir as pessoas de terem acesso aos serviços básicos, incluindo cuidados de saúde.

Para se ter a real dimensão desse problema até a Casa Branca está explorando maneiras de manter o fenômeno sob controle. Como os resgates são normalmente pagos em criptomoedas, uma ideia é rastrear melhor essas transações. Esta é uma tarefa difícil porque muitas bolsas de Bitcoin são baseadas no exterior e elas só precisam obedecer a regulamentações vagas.

Os EUA esperam uma cooperação internacional para tornar as transações de criptomoedas mais transparentes e desmantelar as gangues criminosas. O ransomware esteve na agenda da Cúpula do G7 no Reino Unido, onde os líderes políticos conclamaram todos os estados a “identificar e interromper com urgência as redes criminosas de ransomware que operam dentro de suas fronteiras”. Além disso, durante uma reunião subsequente em Genebra, o Presidente dos EUA Joe Biden entregou ao Presidente russo Vladimir Putin uma lista de 16 setores de infraestrutura crítica que deveriam estar “proibidos de atacar”.

Regulamentação de ransomware eficaz requer cooperação internacional

No final de abril, a Força-Tarefa de Ransomware no Instituto de Segurança e Tecnologia publicou 48 recomendações que foram enviadas à Casa Branca. Dezenas de especialistas que trabalham para empresas de segurança, governo, aplicação da lei, organizações internacionais e sociedade civil contribuíram para a estrutura.

Jen Ellis, Vice-Presidente de comunidade e relações públicas da Rapid7, que fazia parte da força-tarefa, diz que as recomendações são “um incentivo bastante sério” e que funcionam melhor quando aplicadas em conjunto. Alguns, no entanto, têm maior prioridade, como a cooperação internacional.

Ellis diz que espera que os estados do G7 tomem medidas, conforme prometido durante a cúpula. “Os líderes mundiais precisam reconhecer que o ransomware não é um problema técnico de nicho, mas sim um problema social significativo que precisa ser tratado de forma colaborativa nos níveis mais altos”, diz ela. “Só veremos progresso com a pressão contínua exercida sobre os países que oferecem portos seguros para os atacantes.”

Interromper, mas não proibir pagamentos de resgate por criptomoeda

Essas conversas internacionais devem incluir bolsas de criptomoedas, quiosques de criptografia e mesas de negociação de balcão que precisam cumprir as leis já existentes, diz o Major-General aposentado do Exército dos EUA John Davis, Vice-0residente da Palo Alto Networks, que co-presidiu a Força-Tarefa de Ransomware.

Mesmo forçar as grandes empresas a se alinharem à legislação pode ter um impacto, diz Mike Sentonas, CTO da CrowdStrike. “O difícil com as regulamentações para bolsas de criptomoedas é que muitas são globais e não têm incentivos para cumprir as regulamentações dos EUA. A chave seria ter um consenso global sobre a criação de regulamentações em bolsas mais válidas e legítimas. Se você está falando sobre $ 20 milhões de dólares americanos [pagamentos de resgate], existem apenas algumas [bolsas] que têm a capacidade real de sacar, e essas são as que são mais fáceis de regular e precisam lidar com essas transações de pagamentos de ransomware. “

Durante as reuniões da Força-Tarefa de Ransomware, alguns especialistas levantaram idéias mais rígidas, incluindo a proibição de todos os pagamentos de resgate ou a proibição total das criptomoedas. A conclusão geral, de acordo com Ellis, era que tais regulamentos “provavelmente causariam mais danos do que benefícios”.

“Se o pagamento de resgates for proibido, é provável que veremos os invasores se voltando especificamente para as organizações que têm menos probabilidade de resistir a ataques e teria uma interrupção resultante”, diz Ellis. “Em alguns casos, isso pode fazer com que as vítimas – desesperadas para salvar seus negócios – façam pagamentos em segredo, essencialmente tornando-as ainda mais vulneráveis ​​à extorsão de seus agressores.” Ela acrescenta que proibir transações de criptomoedas também “puniria injustamente aqueles que usam ou negociam criptomoedas por motivos legítimos”.

O tecnólogo de interesse público Bruce Schneier concorda que banir a criptomoeda não é a resposta, dizendo que embora seja “conceitualmente simples, também é impossível”. Ele argumenta em um artigo escrito com Nicholas Weaver, palestrante da Universidade da Califórnia em Berkeley, que a alternativa mais fácil é “simplesmente perturbar os mercados de criptomoedas”.

Eles dizem que, no reino da criptomoeda, os criminosos têm muitas opções para dificultar o rastreamento do dinheiro pelas autoridades policiais: eles podem quebrar um resgate em transações menores ou podem pular cadeias de blocos convertendo Bitcoin em Monero em Ethereum e depois voltar para Bitcoin.

No entanto, em algum momento, como há tantas coisas que se podem comprar com o Bitcoin, os criminosos precisam converter a criptomoeda em dinheiro tradicional. Para isso, eles precisam de uma bolsa que esteja conectada a um sistema bancário. Schneier e Weaver dizem que essas trocas normalmente tentam entender quem são seus clientes e provavelmente cooperarão com as autoridades. Converter a criptomoeda em dinheiro tradicional requer “uma grande quantidade de atividade normal para não se destacar”, escreveram eles.

No incidente do ransomware Colonial Pipeline, o FBI conseguiu rastrear o dinheiro digital, de acordo com os registros do tribunal. Um agente especial viu, em um livro-razão Bitcoin visível ao público, como os criminosos transferiam o dinheiro para outras carteiras. Em algum momento, 64 dos 75 Bitcoins pagos pela empresa Colonial Pipeline acabaram em uma carteira para a qual o FBI obteve a chave privada. “Os criminosos nunca verão esse dinheiro”, disse Stephanie Hinds, procuradora interina do Distrito Norte da Califórnia.

Ellis diz que o rastreamento de transações de criptomoedas é necessário para restringir o ransomware. Ela acrescenta que o combate aos cibercriminosos requer uma gama mais ampla de medidas e, quanto mais ideias o mundo da tecnologia tiver, melhor. “Serão necessárias muitas ações diferentes – algumas legislativas e muitas não – para reduzir o ransomware”, diz ela.

No entanto, cada ideia proposta deve ser avaliada minuciosamente por especialistas de várias áreas. “O diabo está nos detalhes”, diz Nicolas Christin, professor assistente de engenharia e políticas públicas da Carnegie Mellon.

Pagamentos “alimentam” problemas de ransomware, mas são necessários em alguns casos

O ransomware muitas vezes coloca as organizações em uma situação impossível, diz Sandra Joyce, Vice-Presidente executiva da Mandiant Threat Intelligence. “Se você é um hospital que foi vítima de ransomware e eles estão pedindo uma certa quantia de dinheiro, normalmente em criptomoeda, então você tem a escolha entre tratar seus pacientes ou não tratar seus pacientes.”

Hoje, a questão de pagar ou não o resgate “não é tão direta como antes”, diz Raj Samani, cientista-chefe da McAfee. “As gangues estão aumentando as apostas”, ele argumenta. “Há um grande número de coisas que precisam ser consideradas ao decidir pagar ou não.”

As vítimas precisam avaliar cuidadosamente a situação e saber quem é o agressor. Enviar dinheiro para entidades sancionadas pode causar problemas porque estão infringindo a lei. “O problema é que muitas das empresas ou organizações que pagam não têm necessariamente muita escolha, pois podem não ter a capacidade de se recuperar completamente com o mínimo de tempo de inatividade”, diz Christin.

O que parece certo no curto prazo pode sair pela culatra no longo prazo. O pagamento de resgates alimenta o problema maior, diz Sentonas de CrowdStrike. “No ano passado, vimos o número e o custo dos resgates crescerem exponencialmente. Isso ocorre porque os agentes de ameaças continuam recebendo incentivos de ransomware. ”

Os pagamentos das empresas aumentaram 341% em 2020, para um total de US $ 412 milhões, de acordo com a empresa de pesquisa de blockchain Chainalysis. Além disso, muitas seguradoras aumentaram seus prêmios por ataques cibernéticos. Pelo menos metade dos compradores precisa pagar entre 10% a 30% a mais e alguns deles até 50% a mais, de acordo com uma pesquisa citada pelo US Government Accountability Office.

A Força-Tarefa Ransomware recomenda que as organizações sejam abertas quando forem atingidas e divulguem as informações de pagamento a um governo nacional. Eles também devem conduzir uma extensa análise de custo-benefício antes de tomar a decisão e revisar as alternativas.

A ligação deve ser feita pelos principais executivos da organização porque são eles que podem avaliar melhor a extensão dos danos, diz Marc Grens, cofundador e presidente da DigitalMint, uma corretora de criptomoeda que ajuda os consumidores a comprar Bitcoin em quiosques físicos e caixas. “Acredito que [as organizações] devem trabalhar com o governo”, diz ele. “Eles devem entrar em contato com a força policial que investiga esse tipo de incidente o quanto antes e com frequência, para entender quem é o ator da ameaça. Quanto mais dados eles tiverem, melhor. ”

“O mais eficaz e importante é que todas as empresas precisam investir mais em segurança para que possam superar os adversários”, diz Sentonas. “Muitas empresas têm sistemas desatualizados ou dependem de tecnologia legada da década de 1990 que realmente não mudou muito. Esses sistemas precisam ser atualizados para serem capazes de detectar rapidamente qualquer atividade maliciosa. ”

As ações da Rússia são essenciais para a resposta dos invasores à regulamentação do ransomware

Historicamente, o negócio de ransomware floresceu depois que gangues de criminosos descobriram a criptomoeda. Em 2013, o destrutivo CryptoLocker obteve grandes lucros ao permitir que as vítimas escolhessem a moeda preferida: dólares americanos, euros ou Bitcoin. Crooks ganhou dinheiro antes disso e provavelmente continuará ganhando.

Novas regulamentações poderiam convencer alguns grupos do Leste Europeu a interromper suas operações, como já aconteceu com a gangue Avaddon, que recentemente liberou todas as suas 2.934 chaves de descriptografia e fechou. Outros, no entanto, continuarão. “Os criminosos vão inovar como vimos antes”, diz Samani da McAfee.

Grens, da DigitalMint, argumenta que alguns grupos podem até aumentar suas atividades disruptivas “para mostrar o que acontece com seus países, suas empresas, ao não dar [às vítimas] a opção de pagar”. Para Dmitry Smilyanets, especialista em inteligência de ameaças cibernéticas da Recorded Future, o ransomware é mais um programa que precisa ser abordado diplomaticamente. Ele diz que as reações das gangues dependerão das decisões dos líderes mundiais, acrescentando que o Ocidente será capaz de combater o crime cibernético “apenas se houver vontade política na Rússia de processar seus próprios cidadãos. Sem a aplicação da lei local na Rússia, é impossível resolver os problemas do cibercrime. ”

O pesquisador afirma que o Presidente russo Vladimir Putin está “irritado” com os recentes ataques de ransomware que visaram os EUA e que isso é “um mau sinal para os cibercriminosos baseados na Rússia”. Smilyanets tem dúvidas de que Putin permitirá que criminosos russos sejam enviados ao exterior porque a constituição de seu país afirma que não extradita seus cidadãos. No entanto, há uma chance de que as gangues sejam processadas de forma transparente na Rússia, diz Smilyanets.

Smilyanets acredita que provavelmente ocorrerá algum tipo de colaboração entre o Kremlin e a Casa Branca. O chefe do FSB russo, Alexander Bortnikov, disse em 23 de junho, durante a Conferência de Segurança Internacional de Moscou, que a Rússia trabalhará com os EUA para rastrear cibercriminosos, segundo a agência de notícias RIA Novosti. Ele acrescentou que a Rússia tomará as medidas discutidas pelos dois presidentes e as colocará em prática, na esperança de reciprocidade. “Nesse caso, [gangues de ransomware] enfrentarão serviços de segurança federal implacáveis ​​[na Rússia] muito rapidamente”, diz Smilyanets.

Fonte: How to control ransomware? International cooperation, disrupting payments are key, experts say

Posts Relacionados: G7 faz apelo à Rússia para reprimir gangues de ransomware / NIST – Draft do Framework de Segurança Cibernética para Gerenciamento de Riscos de Ransomware e 5 dicas para prevenir e mitigar ataques de ransomware