Os recentes ataques cibernéticos em agosto à Bombardier Recreational Products e à Ontario Cannabis Store destacam o flagelo contínuo de criminosos cibernéticos e ransomware.
Ransomware é um código de malware — software malicioso — que entra em um sistema de informações e bloqueia o acesso ao computador ou a seus arquivos até que a vítima pague para obter uma chave ou senha. Ransomware foi um termo que não entrou no léxico popular até cerca de 10 anos atrás (e foi adicionado ao Oxford English Dictionary em 2018).

Agora evoluiu e, em 2021, foram registradas 3.729 reclamações de ransomware, com perdas de US$ 49,2 milhões apenas em infraestruturas críticas designadas. O pagamento médio de ransomware subiu 82%, atingindo um recorde de US$ 570.000 no primeiro semestre de 2021.

E só vai piorar. O Internet Crime Complaint Center do FBI relatou 2.084 reclamações de ransomware de janeiro a 31 de julho de 2021 – um aumento de 62% ano a ano.

Para qualquer organização, os ataques cibernéticos não são uma questão de "se", mas de "quando":um ataque cibernético é inevitável. Isso força os líderes a perguntar:Pagamos o resgate ou não?

Aproximadamente metade de todas as organizações optam por pagar o resgate. Mas isso também significa que cerca de metade não. O que torna este um problema especialmente perverso é que não há uma resposta correta ou uma estrutura clara. Então, a pergunta se torna:sob que condições um resgate deve ser pago? E que fatores podem ajudar os líderes a tomar essa decisão?

Bloqueando o acesso

Existem quatro ações principais que o ransomware pode executar, incorporadas na sigla LEDS:Lock, Encrypt, Delete ou Steal. O ransomware pode bloquear ou impedir o acesso a dados ou a um sistema de informações, exigindo uma chave para desbloquear. Da mesma forma, ele pode permitir o acesso, mas os dados são incompreensíveis, pois foram criptografados no local, exigindo novamente uma chave de descriptografia para torná-los legíveis. Os dados podem ser excluídos no local (apagados) ou vendidos para o maior lance.

O que torna os ataques de ransomware de hoje especialmente prejudiciais e insidiosos é que eles geralmente implantam mais de um desses efeitos.

Depois que o malware é incorporado ao sistema de uma organização, os criminosos entram em contato com a vítima, geralmente por meio de um e-mail anônimo ou pelo próprio malware (janela pop-up) exigindo o pagamento imediato de um resgate em criptomoeda e geralmente ameaçando mais danos.

O pagamento do resgate pode levar ao fornecimento de uma chave de descriptografia, que, quando inserida na janela pop-up, desbloqueia imediatamente o sistema e qualquer coisa que tenha sido criptografada.

Considerações antes do pagamento

Há duas dimensões a serem consideradas ao decidir pagar um resgate:a decisão comercial e a ética.

As autoridades policiais, incluindo o FBI e a RCMP, desaconselham inflexivelmente o pagamento de resgates. Eles o fazem por duas boas razões:primeiro, recompensa e incentiva a atividade criminosa. Em segundo lugar, pode colocar em risco ainda mais a organização quando se souber nos círculos de hackers que esta é uma organização disposta a pagar.

Em outras palavras, pode não fazer com que o crime desapareça e pode torná-lo ainda mais um alvo.

Se os criminosos não são uma organização terrorista conhecida, então o pagamento de um resgate não é um crime. Isso pode mudar, pois alguns países, principalmente os Estados Unidos, estão propondo a promulgação de Leis de Conformidade com Sanções que criminalizam todos os pagamentos de resgate cibernético. Pode ser difícil atribuir o ataque, e é por isso que os hackers geralmente se identificam com suas vítimas.

Um crime honesto

Há um caso de negócios convincente a ser feito para pagar uma demanda de resgate. O crime funciona porque, se você quiser, é honesto. Ou seja, em 70% das vezes, o pagamento de um resgate resultará no fornecimento de uma chave de descriptografia válida.

Isso faz sentido. Para que os criminosos lucrem com esse esforço, eles devem mostrar boa fé e cumprir sua promessa.

Os criminosos também sabem disso. As campanhas direcionadas mostram os invasores gastando em média quase seis meses dentro da rede de uma empresa antes de decretar o malware de resgate. Eles fazem isso para garantir que o malware infectou o maior número possível de sistemas, incluindo backups; identificar e extrair os itens de maior valor; para garantir que não deixem rastros; e para obter qualquer inteligência de negócios (como planos de resposta a incidentes ou apólices de seguro). Isso permite que eles determinem a quantidade máxima de resgate a ser exigida.

Esta é a essência da decisão do caso de negócios. Suponha, por exemplo, que o custo de um evento de resgate seja estimado em US$ 500.000 (com base no tamanho do banco de dados, tempo de recuperação, validação de dados na recuperação e outras despesas). Uma demanda de resgate de US$ 250.000 é claramente uma alternativa melhor porque não é apenas mais barata, mas mais rápida que a alternativa.

As organizações podem calcular o custo de vários incidentes e determinar, em princípio, sua disposição de pagar por cada possível cenário de resgate. Isso leva ao desenvolvimento do que é chamado de matriz de pagamento de ransomware para a organização.

Dimensões morais

No entanto, há também uma dimensão moral ou ética nessa decisão. Os pagamentos a criminosos podem não ser consistentes com os valores fundamentais, a cultura ou o código de ética da organização. Mesmo que sejam, isso pode não agradar aos funcionários, clientes e outras partes interessadas da empresa.

Existem muitas estruturas e teorias que tratam da ética no local de trabalho, e os líderes precisam se valer de uma ou mais. Isso os ajudará a tomar uma decisão sobre o pagamento de um resgate porque, embora possa fazer grande sentido comercial pagar um resgate, pode não ser a coisa certa a fazer para a organização.

Em vez disso, a organização pode optar por investir fundos que, de outra forma, seriam destinados a pagamentos de resgate em treinamento, proteção cibernética e sistemas de atualização e correção.

Seja qual for a decisão, é fundamental explorar todas as opções bem antes de ocorrer qualquer ataque cibernético. Isso inclui a realização de discussões com funcionários, clientes e outras partes interessadas. Também inclui seguradoras (que estão cada vez mais relutantes em fazer seguros contra eventos de ransomware) e autoridades policiais.

Aceitar a inevitabilidade de um ataque cibernético e explorar completamente diferentes cenários terá o efeito duplo de não apenas se preparar para o ataque, mas permitir uma resposta mais eficaz quando ele ocorrer. + Explorar mais

Alguns hackers pegam o resgate e fogem:pesquisadores

Este artigo é republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.