Autoridades nos EUA estão querendo punir quem pagar resgate de ransomware
“Os pagamentos de (R) ansomware feitos a pessoas sancionadas ou a jurisdições amplamente sancionadas podem ser usados para financiar atividades adversas aos objetivos de segurança nacional e política externa dos Estados Unidos”, afirma um memorando escrito pelo Departamento do Tesouro dos EUA.
As empresas que pagam sindicatos de ransomware podem se ver em apuros com o governo federal, de acordo com um memorando publicado na quinta-feira pelo Departamento do Tesouro dos EUA.
Enfrentando a crescente ameaça do ransomware, o memorando diz que alguns países e grupos criminosos internacionais que foram sancionados pelo governo dos EUA também administram sindicatos de ransomware. O memorando adverte que ao financiar esses grupos – mesmo pagando resgates para recuperar dados roubados – as empresas americanas podem entrar em conflito com vários tratados que restringem o comércio a grupos criminosos e governos que foram sancionados pelos EUA
“Os pagamentos de (R) ansomware feitos a pessoas sancionadas ou a jurisdições amplamente sancionadas poderiam ser usados para financiar atividades adversas aos objetivos de segurança nacional e política externa dos Estados Unidos”, afirma o memorando. “Os pagamentos de ransomware também podem encorajar os ciberatores a se envolverem em ataques futuros. Além disso, pagar um resgate a cibercriminosos não garante que a vítima recuperará o acesso aos dados roubados. “
O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA divulgou o memorando na quinta-feira, no início do Mês de Conscientização sobre Segurança Cibernética. Ele disse que há dois atos que podem ser violados pelo pagamento de resgate: a Lei de Poderes Econômicos de Emergência Internacional e a Lei de Comércio com o Inimigo. Ambos proíbem os cidadãos e empresas dos Estados Unidos de “se envolverem em transações, direta ou indiretamente, com indivíduos ou entidades”, conhecido como “Cidadãos especialmente designados” ou “Lista de pessoas bloqueadas”.
“(Office of Foreign Assets Control) pode impor penalidades civis para violações de sanções com base em responsabilidade objetiva, o que significa que uma pessoa sujeita à jurisdição dos Estados Unidos pode ser responsabilizada civilmente, mesmo que não soubesse ou não tivesse razão para saber que estava se envolvendo em uma transação com uma pessoa proibida pelas leis e regulamentos de sanções administrados pela OFAC. ”
John Hammond, pesquisador de segurança do Huntress Labs de Baltimore, trabalha no departamento de operações de ameaças, revertendo malware e encontrando novos pontos de apoio persistentes que os hackers estão usando para entrar nos sistemas. Ele disse que o memorando pode ser positivo se encorajar as empresas a serem mais cuidadosas ao configurar suas redes.
“Isso não está diminuindo e o governo não pode controlar isso. Mas olhe, sua defesa aqui é ter backups. Não há desculpa em 2020 para não ter backups ”, disse ele ao CRN. “Apoiamos a ideia de que você nunca deve pagar a um hacker. Você está apenas encorajando-os a cometer mais crimes. ”
Brett Callow, analista de ameaças da Emsisoft, uma empresa de software com sede na Nova Zelândia, disse que o boletim em si não faz nada – na verdade, o memorando diz que não é uma opinião legal, apenas um conselho – mas apóia a posição da Emsisoft, que é deveria haver uma proibição de todos os pagamentos a sindicatos de ransomware, uma vez que esses pagamentos são a única coisa que perpetua o crime.
“As disposições e sanções já existem, e o aviso é simplesmente um lembrete de que elas estão lá”, disse Callow à CRN por e-mail. “As sanções se aplicam apenas a um pequeno número de agentes de ameaças, portanto, têm pouco impacto geral e o ransomware continua – e continuará – a ser um problema como sempre. Acreditamos que a única solução real para o problema é a proibição total do pagamento de resgates, e isso é algo que pedimos recentemente. ”
Matt Hildebrandt, que dirige StrataDefense, um MSSP com sede em Wisconsin, disse que este é um grande lembrete de ter um advogado e uma seguradora ao seu lado antes que um ataque aconteça.
“Quando você está falando sobre como lidar com, seja um ransomware ou qualquer malware, envolva-se legalmente imediatamente”, disse ele ao CRN. “Você está começando a entrar em um território agora onde as seguradoras não vão pagar se você não seguir o protocolo … o que está por trás disso é backup, backup, backup, backup, backup e certificar-se de que você tem práticas em vigor que estão protegendo esses backups. ”
Mark Essayian, presidente da KME Systems Inc., um MSP em Lake Forrest, Califórnia, disse que com grandes empresas de tecnologia da Fortune 500 sendo criptolocked por ransomware, este memorando pode ser usado pelas vítimas como um escudo.
“Talvez seja uma forma de dar cobertura às empresas de capital aberto, dizendo: ‘Ei, não podemos pagar esse dinheiro, porque então seremos colocados fora do mercado pelo governo federal’”, disse ele à CRN. “Eu acho que é um ponto positivo que eles vão forçar as pessoas que pensam que eles deveriam apenas pagar o resgate a respirar fundo e fazer uma pausa … Quer dizer, você está financiando o cara que invadiu sua casa para que ele possa invadir sua casa do vizinho. ”
O respeitado especialista em ransomware Kevin McDonald, diretor de operações da Alvaka Networks, disse que a empresa nunca facilitou um pagamento a um grupo de ransomware e não o faria. Ele disse que os legisladores deveriam designar o ransomware como uma forma de terrorismo.
“É absolutamente real. É devastador. É uma entidade que mata coisas e precisa ser tratada como terrorismo doméstico ”, disse ele. “Não há nada mais estressante do que saber que tudo o que você possui foi criptografado. Muito provavelmente, você terá que relatar ao mundo que teve uma violação de segurança, o que pode ser devastador para sua reputação. Você pode ter que pagar muito dinheiro para alguma escória humana real para se recuperar disso. E então você e você tem que gastar potencialmente milhões ou centenas de milhões em alguns dos casos que vimos se recuperando disso. ”
Infelizmente, disse ele, neste memorando parece que o governo federal está atacando duramente as vítimas do crime, mas fazendo muito pouco para impedir os ataques em primeiro lugar.
“Isso coloca um certo ponto de interrogação moral sobre o governo federal porque eles não estão fazendo muito para nos defender ou ajudar a defender a população”, disse ele ao CRN. “As leis que cercam isso são fracas para mim. Isso é terrorismo doméstico. Deve ser 25 de prisão perpétua se você for pego fazendo ransomware. Mas agora eles dizem: ‘Bem, se você tiver que pagar para sair dessa situação e salvar sua empresa e todos os seus empregos. Você é um criminoso. ‘ Eu tenho um problema com isso. ”
Em uma pausa com outros especialistas em segurança com quem o CRN conversou, ele disse que o backup não o salvará do ransomware.
“Mesmo com um sistema de continuidade de negócios completo em vigor, o trabalho de recuperação que deve ser feito para verificar se você expulsou um mau ator em uma empresa pode levar meses e custar centenas de milhares, senão milhões de dólares, porque uma vez que eles ‘ você tem que saber por quê? Onde? Como? Eles se foram? Um pedaço deles é deixado para trás e vai deixá-los voltar? ” ele disse.
Bryan Seely, arquiteto de segurança sênior da Cyemptive Technologies em Seattle, disse que os pagamentos ou não, um dos impulsionadores do malware, é que muitas vítimas de ransomware não acreditam que serão atingidas até que seja tarde demais.
“A razão pela qual eles não estão fazendo backup de seu material não é porque não há um incentivo forte o suficiente”, disse ele. “É que as pessoas não acreditam que serão atingidas”.
