Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Construindo Resiliência de Ransomware — Uma Estratégia Proativa para Empresas e Reguladores
O aumento dos ataques de ransomware levou a comunidade internacional a explorar uma variedade de abordagens para impedir esses ataques, incluindo o uso de sanções, o desenvolvimento e a instanciação de normas que regem os ataques cibernéticos e a promoção das melhores práticas de segurança cibernética.
As sanções têm sido uma parte importante do kit de ferramentas usado pelas agências governamentais para impor custos aos agentes de ransomware. Em fevereiro de 2023, os reguladores do Reino Unido e o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionaram sete membros da gangue de crimes cibernéticos TrickBot, com sede na Rússia, associada aos Serviços de Inteligência Russos, por implantar ransomware para atingir infraestrutura crítica em ambos os países. Em agosto de 2022, a OFAC sancionou o Tornado Cash, um misturador descentralizado de criptomoedas, por supostamente facilitar a lavagem de US$ 7 bilhões em moeda virtual (VC). Em um movimento semelhante, em setembro de 2021, a OFAC designou a SUEX OTC, SRO (SUEX), uma bolsa de criptomoedas russa, como uma entidade na lista de Cidadãos Especialmente Designados e Pessoas Bloqueadas, que restringe as negociações dos EUA com certas entidades que representam ameaças à segurança nacional. Ao mesmo tempo, a OFAC emitiu um comunicado sobre ransomware (setembro de 2021) destacando os riscos de sanções associados a pagamentos de ransomware relacionados a atividades cibernéticas maliciosas. Descobriu-se que a SUEX movimentou centenas de milhões de dólares em criptomoedas de fontes ilícitas, incluindo mais de US$ 160 milhões de agentes de ransomware.
Embora essas designações sejam importantes, uma abordagem abrangente é necessária para continuar a deter e degradar as redes de ransomware. Essa abordagem proativa e ampla pode envolver sanções direcionadas, compartilhamento de informações, parcerias público-privadas e capacitação de empresas e indivíduos para se protegerem de ataques de ransomware. Ao focar em reguladores estrangeiros que enfatizam a conformidade com crimes financeiros, essa abordagem poderia supervisionar de forma mais eficaz os provedores de serviços de ativos virtuais (VASPs) em suas jurisdições para reduzir os riscos enquanto processam pagamentos para agentes de ransomware.
I. Compreendendo o ecossistema de ransomware
Ransomware é uma forma de software malicioso (malware) projetado para bloquear o acesso a sistemas ou dados de computador, geralmente criptografando dados ou programas. Os atores cibernéticos exigem pagamentos de resgate, geralmente em VC, em troca de uma chave para descriptografar arquivos e restaurar o acesso das vítimas às suas informações. Nos últimos anos, a OFAC tem como alvo vários atores no ecossistema de ransomware, incluindo:
II. Aviso de setembro de 2021 da OFAC
Além de designar uma série de atores envolvidos no ecossistema de ransomware, a OFAC também emitiu orientações de conformidade para ajudar as empresas a gerenciar os riscos em torno de transações de ransomware especificamente e transações de VC em geral. O comunicado de setembro de 2021 da OFAC observa que o governo dos EUA "desencoraja fortemente todas as empresas privadas e cidadãos de pagar resgates ou exigências de extorsão". O comunicado de setembro de 2021 explica que, de acordo com a Lei Internacional de Poderes Econômicos de Emergência ou a Lei de Comércio com o Inimigo, as empresas podem ser responsabilizadas por violar as regras da OFAC pagando resgates a pessoas sancionadas, mesmo que não soubessem que estavam fazendo isso. Além disso, para evitar violações de sanções, a OFAC sugere que as empresas implementem um “programa de conformidade baseado em risco para mitigar a exposição a violações relacionadas a sanções”, que pode ser complementado por meio de treinamento, backups offline, planos de resposta e outros esforços para proteger a infraestrutura técnica de uma empresa. A OFAC também enfatiza a importância de relatórios imediatos, observando que vê um "relatório autoiniciado e completo de um ataque de ransomware à aplicação da lei" como um fator atenuante significativo em um contexto de aplicação. Essa orientação é consistente com a orientação mais ampla da OFAC sobre como as empresas devem criar programas eficazes de conformidade com base no risco.
***
No geral, a campanha de sanções da OFAC reflete seu compromisso de combater o ransomware por meio de sanções direcionadas e parcerias com outras agências governamentais e parceiros internacionais.