Geral 3min de Leitura - 12 de abril de 2021

Vale a pena tornar ilegal o pagamento de resgate de Ransomware?

Mão entregando dinheiro e outra mão entregando chave

This post is also available in: Português

O assunto já é debatido em países da Europa, e logo deve chegar ao Brasil. As consequências, porém, podem ser complicadas.

Milhares de empresas continuam a ser vítimas de ransomware, e o progresso no combate a esses ataques continua lento. Inclusive, já se tornou um dos maiores problemas de segurança na Internet da atualidade.

Para piorar, as gangues de ransomware estão se tornando mais espertas e nefastas. Não é mais o suficiente “apenas” invadir sistemas de computador e criptografar os dados para torná-los inacessíveis. Os cibercriminosos parecem ficar contentes somente quando estão roubando dados e ameaçando revelá-los aos quatro ventos da web. E não se trata apenas de dados de clientes: os crackers procuram qualquer informação que possa ser constrangedora às vítimas, e as ameaçarão em troca de mais dinheiro.

Em muitos casos, parece funcionar, já que o crescimento dos ataques de ransomware pode ser explicado pelo seu sucesso. Afinal, se algo dá certo, será multiplicado.

Defesas

Empresas de todos os tamanhos precisam entender o quão perigoso pode ser um ransomware, e descobrir como melhorar sua própria segurança. Nesse contexto, os desafios são muitos. Um deles diz respeito às inúmeras maneiras pelas quais as empresas podem personalizar e integrar seus softwares. Afinal, mesmo que sejam entregues perfeitamente seguros, brechas de segurança podem surgir – e é preciso um plano de ação para quando surgirem.

Há um agravante nisso: os grupos de ransomware são especialistas em aproveitar falhas recém-descobertas e utilizá-las como parte de seus ataques. Aí, o dinheiro do resgate dá condições para criar outros ataques ainda mais complexos e ousados. A longo prazo, a mudança geral para a computação em nuvem – que até agora se mostrou mais segura – pode ajudar.

Assim, atacar os crackers é o próximo desafio. Porém, muitos desses grupos estão localizados na Rússia – e de lá atacam o mundo todo – o que significa que as autoridades policiais têm dificuldade em prosseguir com os casos. Pode ser possível travar os esforços desses grupos de outras maneiras: órgãos policiais tiveram algum sucesso em interromper botnets e outras redes de crime online. Então talvez algo semelhante seja possível, mesmo que essa interrupção tenda a ser apenas temporária.

Pagar ou não pagar?

Quando um ataque surge, uma das decisões mais complicadas diz respeito ao pagamento do resgate. É compreensível que uma empresa sinta que não tem escolha a não ser pagar para recuperar o acesso aos seus dados, já que está vendo todo o seu negócio parado. Mas cada resgate pago é como um sinal para outros criminosos, informando que esse tipo de ação dá resultado.

Dessa maneira, tornar ilegal o pagamento de resgates por empresas parece ser um grande passo a ser dado. E isso está cada vez mais sendo discutido. Um relatório recente do RUSI (Royal United Services Institute) observa que “os formuladores de políticas devem examinar cuidadosamente a viabilidade e a adequação de tornar o pagamento do resgate ilegal no Reino Unido. O motivo é que poderia levar a um efeito ‘protetor’ resultante do desencorajamento de ataques de ransomware contra alvos do Reino Unido”. Contudo, é uma decisão que pode ter algumas consequências complicadas.

As notícias sobre a mudança demorariam um pouco a serem assimiladas. Gangues de ransomware são oportunistas e podem não perceber que uma empresa está sediada no Reino Unido, por exemplo – pois a localização nem sempre é tão importante –, e podem criptografar os sistemas assim mesmo. Dessa maneira, é improvável que os crackers entregassem gratuitamente a chave de descriptografia só porque a vítima, pela lei, estaria impedida de pagar.

Se as empresas não puderem pagar resgates e não tiverem outra maneira de restaurar seus dados, enfrentarão enormes custos e interrupções – que tirariam sua relevância no mercado. Mesmo as empresas com backups e o conhecimento técnico necessário serão forçadas a gastar tempo e dinheiro restaurando seus sistemas. Isso poderia colocá-los em uma desvantagem significativa em comparação com as vítimas de outros lugares, por exemplo.

Com certeza, os cibercriminosos são capazes de deixar de lado certos territórios ao planejar ataques (elas tendem a evitar a Rússia, por exemplo). Portanto, a longo prazo, a proibição do pagamento de resgates pode ter o impacto desejado, tornando as empresas em alvos menos lucrativos. Ainda assim, não há sinais de que os governos estejam planejando adotar essa tática no momento. Contudo, como o custo dos ataques de ransomware continua aumentando, medidas do tipo logo serão discutidas – principalmente quando órgãos governamentais começarem a serem atingidos com mais frequência.

This post is also available in: Português