O ransomware agora se tornou um problema global. Os grupos cibercriminosos operam em países que lhes oferecem refúgios seguros e permitem que lancem até os ataques mais sofisticados. É necessária uma estratégia global comum para evitar uma escalada. Uma avaliação de Michael Veit, especialista em segurança da Sophos.
Estamos no meio de uma crise de ransomware. Uma infinidade de ataques de ransomware foi observada nos últimos meses, tornando-se cada vez mais extrema, como o fechamento temporário de um importante oleoduto nos EUA. O aumento de ataques de ransomware não é um fenômeno novo, mas este ano esse tipo de cibercrime evoluiu de uma ameaça maliciosa para uma crise global total e entrou na agenda política.
As autoridades também estão sendo cada vez mais chantageadas
As agências federais estão acostumadas a serem constantemente expostas a ataques cibernéticos. A novidade, no entanto, é que agora eles também são alvo de ataques comerciais de ransomware. Essa escalada se deve em grande parte aos invasores que aprimoram suas habilidades trabalhando em "exércitos de hackers" patrocinados pelo governo e trabalhando como freelancers para fornecedores privados de ransomware.
A recente acusação do Departamento de Justiça dos EUA contra o governo chinês, que supostamente ajudou cibercriminosos em seus ataques a um servidor de e-mail amplamente usado, destaca a sobreposição entre estados-nação e grupos de ransomware: as falhas de segurança descobertas pelos serviços de inteligência do estado são usado por atores privados como arma usada. Os estados que treinam invasores de ransomware e outros cibercriminosos aumentaram a ameaça de ransomware e elevaram seu perfil aos olhos dos governos de todo o mundo. Isso levou não apenas a Casa Branca, mas também a OTAN e a cúpula do G-7 a emitir declarações sobre ransomware recentemente.
Uma crise global precisa de uma resposta global
Uma crise global de ransomware precisa de uma resposta global e ações concretas que os governos e seus parceiros possam tomar para atingir o ransomware em todo o mundo.
1. Pare de pagar resgates
Para combater o ransomware de forma eficaz, as vítimas devem parar de pagar resgates. Enquanto o ransomware for lucrativo, os invasores não terão incentivo para parar. A atitude do governo de “não negociamos com terroristas” também deve se aplicar ao ransomware. Qualquer empresa que faça parte de uma cadeia de suprimentos do governo federal, estadual ou local deve concordar contratualmente em não pagar resgate no caso de um ataque de ransomware. Incluir essa cláusula padrão nas políticas de compras do governo e anunciar que toda cadeia de suprimentos do governo é obrigada a não pagar resgates pode ajudar a deter o ransomware, pelo menos contra agências governamentais.
A recuperação custa em média US$ 1,85 milhão
Mas não pagar um resgate costuma ser mais fácil dizer do que fazer. Mas uma maneira de tornar essa ideia mais atraente — especialmente quando ela é apresentada como uma recomendação em vez de um requisito estrito — é enfatizar o enorme custo da recuperação. Um recente estudo independente encomendado pela Sophos descobriu que as vítimas de ransomware gastam em média US$ 1,85 milhão. Porque os custos de um ataque são muito mais do que "apenas" o resgate: são adicionados custos de tempo de inatividade, funcionários, dispositivos, rede, oportunidades perdidas e atualizações há muito esperadas da infraestrutura de TI.
2. Regular as trocas de criptomoedas pelas quais os resgates fluem
O que tornou o ransomware uma crise global é a medida em que os estados-nação treinam e/ou fornecem refúgios seguros para os cibercriminosos. Infelizmente, não há nenhuma alça até agora. Não há recurso contra governos que abrigam grupos de ransomware. Uma possibilidade poderia ser a imposição de sanções comerciais a países associados ao ransomware. Mas provavelmente é mais eficiente e produtivo atingir os grupos de ransomware onde mais os prejudica: seu dinheiro. Os cibercriminosos convertem os resgates em moedas fortes em trocas de criptomoedas. A imposição de regulamentos mais rígidos sobre essas trocas de criptografia tornaria mais difícil para os grupos de ransomware lucrar com seu trabalho. Internamente, os regulamentos de criptomoedas e as políticas de combate à lavagem de dinheiro podem impedir que empresas de criptomoedas sejam usadas como casas de câmbio para invasores de ransomware.
A cooperação internacional deve ser o foco
Também aqui a cooperação internacional com diretrizes definidas ajuda. Estados-nação como a Rússia e a China têm um incentivo para implementar esse tipo de regulamentação de criptomoeda para seus próprios comerciantes de criptomoedas, principalmente porque os obriga a converter a criptomoeda em sua moeda. Isso fortalece sua própria solidez financeira e abre uma nova fonte de receita tributária. Quando os grupos de ransomware descobrem que existem apenas alguns países onde podem pagar com segurança seus pagamentos de resgate, o modelo de negócios se torna simplesmente pouco atraente.
3. Exigir higiene de TI e divulgação de violações de segurança
Existem algumas medidas básicas de higiene de TI que muitas empresas ainda não estão adotando: educar os funcionários sobre spear phishing, adotar autenticação de dois e vários fatores, proteção básica de endpoint e proteger dados fora da rede e fora do local de armazenamento. Os governos poderiam ajudar aqui, recomendando a conformidade com as certificações, em vez de decretar esses requisitos na legislação. Como um benefício adicional, as certificações, ao contrário da legislação, são relativamente fáceis de atualizar, portanto, a conformidade do fornecedor também permaneceria atualizada.
O relatório de incidentes de segurança deve se tornar padrão
Deve se tornar padrão relatar incidentes de segurança. No entanto, a obrigação de informar não deve ser uma medida punitiva. (excepto talvez em casos de incumprimento dos regulamentos). Em vez disso, devem ser tratados como uma medida de sensibilização. Quanto mais empresas ou agências governamentais forem obrigadas a relatar violações de dados assim que elas ocorrerem, mais seus parceiros e fornecedores poderão ser informados e tomar medidas imediatas para se protegerem. Um requisito de relatório nacional para violações de dados também permite uma compreensão mais completa de como esses ataques são comuns. Obter um controle completo sobre o ransomware só é possível quando há uma noção da verdadeira escala, volume e frequência desses ataques. O dever de divulgar violações de dados e ataques cibernéticos ajuda a conseguir isso.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.