Colonial Pipeline, a empresa que opera o maior oleoduto de óleo combustível dos Estados Unidos, custou pouco menos de US $ 5 milhões para pagar uma gangue de cibercriminosos que hackearam seus servidores, cortaram o fluxo de petróleo e gás e interromperam o fornecimento de combustível em todo o leste. costa. A empresa cedeu aos pedidos de resgate de hackers poucas horas após o ataque, informou a Bloomberg News.
Em um ataque de ransomware, os criminosos criptografam os dados de uma empresa e exigem um pagamento de extorsão em troca de uma chave especial que restaurará o acesso da empresa a seus arquivos. A decisão da Colonial Pipeline de pagar os hackers vai contra a maioria das recomendações oficiais. A política americana e o conselho permanente de muitos outros governos nacionais e agências de inteligência são claros: as empresas não devem pagar resgates a hackers.
Mas, na prática, é um pouco mais complicado do que isso. De vez em quando, o FBI dirá em particular a uma empresa hackeada que sabe se os executivos decidem pagar aos hackers. Em uma entrevista coletiva após o ataque do oleoduto colonial, a principal autoridade de segurança cibernética da Casa Branca, Anne Neuberger, reconheceu que as empresas às vezes não têm outra escolha: “Reconhecemos, no entanto, que as empresas muitas vezes estão em uma posição difícil se seus dados são criptografados não tem cópias de backup e os dados não podem ser recuperados ”, disse ele.
Certamente, é uma boa notícia que uma peça-chave da infraestrutura de energia dos Estados Unidos estará novamente online em breve. Mas o episódio levanta uma questão espinhosa: as empresas devem pagar resgates, sabendo que podem encorajar ataques futuros?
Os perigos de pagar resgates
A sabedoria padrão dos especialistas em segurança cibernética e agências de inteligência é que os pagamentos de resgate apenas incentivam e financiam futuros ataques cibernéticos. “O pagamento de resgates incentiva os criminosos a atacar outras organizações e oferece um empreendimento atraente e lucrativo para outros criminosos”, escreveu o FBI em um anúncio de serviço público de outubro de 2019.
Portanto, o melhor curso de ação, argumentam muitos especialistas, é as empresas rejeitarem as demandas dos hackers. “Se você quiser impedir os ataques de ransomware, terá que secar o fluxo de caixa, o que significa que as empresas devem parar de ceder a esses choques”, disse Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft.
Deixando de lado os escrúpulos éticos e estratégicos de longo prazo que uma empresa pode ter sobre o financiamento de organizações criminosas, há também a questão de saber se as empresas podem confiar nos grupos de pirataria como parceiros de negócios confiáveis. Em alguns casos, mesmo depois que a empresa pagou o resgate, os hackers não enviaram a chave de descriptografia que permitiria à empresa restaurar seus dados. Outras vezes, os hackers exigem um segundo resgate depois de receber o primeiro. “Você está pagando por uma promessa mínima de criminosos”, disse Callow.
Nos últimos anos, os grupos de ransomware tornaram-se cada vez mais sofisticados e profissionais, à medida que suas receitas anuais dispararam para bilhões. (Os hackers ganharam pelo menos US $ 18 bilhões durante uma onda de crimes em 2020, de acordo com uma estimativa da Emsisoft.) Por um lado, essa tendência fornece evidências de que os pagamentos de resgate, de fato, permitiram que os hackers reinvestissem seus lucros na expansão de suas operações. com a mesma eficiência implacável da Amazon.
Mas, por outro lado, os hackers passaram a gostar menos, o que pode fazer com que mais empresas sintam que podem confiar que os criminosos cumprirão sua parte na barganha após pagar um resgate. Na maioria das vezes, os hackers mantêm sua palavra e enviam chaves de descriptografia para empresas pagantes. Muitos grupos de ransomware oferecem até suporte de chat ao vivo para orientar as empresas no processo de restauração de seus dados.
É difícil estimar quantos grupos de ransomware estão operando agora, mas o serviço de identificação de ransomware ID Ransomware identificou mais de 500.000 incidentes confirmados em 2020. Em uma pesquisa com 600 empresas na Austrália, França, Alemanha, Japão, Espanha, Reino Unido e Nos EUA, pela empresa de segurança cibernética Proofpoint, dois terços das empresas disseram ter sofrido um ataque de ransomware em 2020.
O problema da ação coletiva no mundo dos negócios
É fácil dizer em abstrato que as empresas não deveriam pagar resgates, mas para qualquer organização individual, é uma escolha muito difícil. Geralmente é muito mais barato pagar um hacker do que recriar a infraestrutura de TI da sua empresa do zero. A cidade de Baltimore rejeitou um pagamento de resgate de $ 76.000 em maio de 2019 e depois pagou $ 18 milhões para reconstruir sua rede de TI. A cidade de Atlanta rejeitou um resgate de $ 51.000 em março de 2018 e pagou $ 17 milhões para reconstruir sua infraestrutura.
“Usted es el director ejecutivo de una empresa y su elección es pagar o cerrar el negocio”, dijo Jim Lewis, vicepresidente senior del Centro de Estudios Estratégicos e Internacionales, un grupo de expertos en seguridad nacional de EE. UU. “¿Cuál vas a eleger?”
Esse dilema levanta um problema de ação coletiva: uma empresa pode se recusar a pagar um resgate por cibercriminosos ávidos por dinheiro, mas seu sacrifício não terá impacto, a menos que o resto do mundo corporativo faça o mesmo. E essa é uma perspectiva duvidosa. De acordo com a pesquisa da Proofpoint, pouco mais da metade das empresas alvo de um ataque de ransomware cedem e pagam os hackers.
Callow acredita que a única maneira de sair desse impasse é os governos intervirem e tornarem os pagamentos do resgate ilegais, mesmo que isso levasse a piores resultados financeiros para algumas empresas que foram atacadas. “As empresas certamente sentiriam a dor como resultado”, disse ele. “Alguns podem até ser forçados a fechar. Mas os ataques forçaram algumas empresas a fecharem de qualquer maneira, e realmente que escolha temos aqui? ”.
No setor privado, pelo menos uma grande seguradora já declarou que não cobrirá mais o pagamento de resgate digital para seus clientes. A AXA, uma das maiores seguradoras da Europa, renunciou à prática a pedido do governo francês.
Mas Lewis diz que não adianta dizer às empresas para não pagarem resgates se for de seu interesse financeiro fazê-lo. A raiz do problema não é que as empresas estejam pagando resgates, disse ele. É o fato de que as empresas não têm defesas cibernéticas adequadas e que a comunidade internacional não confrontou adequadamente a Rússia e outros países que hospedam grupos de hackers para forçá-los a reprimir os cibercriminosos.
“Até que tenhamos tudo sob controle, e isso significa encontrar uma maneira de lidar com os russos e encontrar uma maneira de garantir que a infraestrutura crítica, como hospitais, faça a coisa certa para se tornarem alvos mais difíceis para ransomware”, disse Lewis. Não faz sentido impedir que as empresas paguem resgates.
“As pessoas deveriam pensar nisso como um negócio e, para as vítimas, é uma decisão de negócios”, disse Lewis. “No momento, existem tantas vulnerabilidades e tantas redes inadequadamente protegidas que não pagar não significará menos ataques de ransomware. Significa apenas que você falirá … ou terá uma perda de receita ao longo de um período de tempo. “
