Reportar o ransomware às autoridades
Escrito por Tomas Meskauskas a (atualizado)
Índice
- Os incidentes de ransomware devem ser relatados?
- Mais Razões.
- Como reportar um incidente de ransomware?
- Se for vítima de ransomware, relate este incidente às autoridades localizações.
Ser vítima de um ataque cibernético, quanto mais de um ataque de ransomware, requer a tomada de várias decisões difíceis. Resulta naturalmente de um relatório recente da Europol que comunicar o incidente às autoridades é uma dessas decisões difíceis. O relatório destacou como os incidentes de ransomware são subnotificados e, muitas vezes, as autoridades só ouvem sobre os incidentes através dos média, e não da vítima.
É fácil exigir que as vítimas de crimes os denunciem por inúmeras razões legais e éticas, muito menos para ajudar as autoridades a capturar que cometeram crimes. A realidade é que ser vítima de um crime tem um nível de estigma associado. Pode ser constrangedor admitir que foi enganado ou enganado. Para organizações que são vítimas de ataques de ransomware, este estigma parece ser uma das principais razões pelas quais o crime específico não é relatado.
O cenário atual de ameaças de ransomware evoluiu para incluir várias gangues de ransomware ou mesmo gags que formaram “cartéis” que visam especificamente grandes organizações, sejam empresas privadas ou agências governamentais. Essa mudança, que ocorreu no início de 2019 para valer, resultou em grandes organizações, algumas empresas da Fortune 500, adicionadas a listas cada vez maiores de vítimas. Garmin, Canon, e Konica Minolta são apenas algumas das vítimas de alto nível que sofreram o impacto maciço de uma gangue de ransomware.
O estigma de ser vítima de ransomware ganhou um novo significado à medida que as empresas temem o impacto que tal ataque terá sobre os relacionamentos com clientes e partes interessadas. Esta pode ser uma das razões por trás da subnotificação do crime. Qualquer incidente cibernético não afeta apenas os resultados financeiros e a recuperação pode ser uma perspectiva cara, mas é de se esperar danos à reputação. Os especialistas consideram que ser transparente em relação a um incidente de ransomware pode ajudar a reparar o dano à reputação de forma mais eficaz do que quando são feitas tentativas de varrer o assunto para debaixo do tapete. O restante deste artigo é dedicado a explicar por que os incidentes de ransomware devem ser relatados às autoridades e, mais importante, como fazê-lo.
Os incidentes de ransomware devem ser relatados?
A resposta direta é sim, mas respostas diretas pouco fazem para transmitir a importância da pergunta em primeiro lugar. A resposta mais fácil a dar é que, para muitas organizações, que precisam aderir a certas partes da legislação de conformidade ou a um conjunto de padrões, as violações de dados precisam ser relatadas. Um ano atrás, poderia argumentar que um incidente de ransomware não equivale a uma violação de dados ou diferentemente um incidente cibernético em que informações confidenciais pertencentes a clientes ou utilizadores registados de um serviço foram comprometidas. O início de 2020 abalou o debate académico sobre se um ataque de ransomware foi uma violação de dados ou não.
Em janeiro de 2020, notícias começaram a surgir que o gangue do ransomware Maze estava a ameaçar libertar dados roubados das vítimas antes que o ransomware fosse executado e os dados encriptados.
Rapidamente as ameaças tornaram-se uma realidade quando Maze começou a libertar dados, roubados através do que seria denominado de “site de vazamento”, normalmente hospedado num dos cantos da dark web. Isso colocava incidentes de ransomware específicos firmemente na categoria de violação de dados e precisava ser tratada como tal. Para muitas peças de legislação e padrões de conformidade, há um requisito de relatar incidentes às autoridades relacionadas especificadas na legislação.
É importante notar que, apesar da evolução dos ataques de ransomware que agora incluem exfiltração de dados, às vezes denominada de “extorsão dupla”, nem todos os ataques de ransomware também são violações de dados. O fator determinante será se os dados foram filtrados ou não. A evolução mais recente nas táticas são as gangues de ransomware que empregam centrais de atendimento para ameaçar ainda mais as vítimas. Em muitos países, este nível elevado de abuso pode ser considerado um crime e, portanto, também deve ser relatado às autoridades policiais.
Mais Razões
Se uma vítima for obrigada a relatar o ransomware por causa da legislação, existe um forte argumento para relatar o incidente. Existem vários outros motivos para relatar incidentes de ransomware, independentemente das leis que estipulam que deveriam. Em primeiro lugar, as informações que os encarregados da aplicação da lei obtêm do relato do incidente a fatos fornecidos por especialistas em segurança cibernética forense ajudam muito a capturar os envolvidos.
Devido aos altos níveis de anonimato proporcionados aos criminosos cibernéticos através do uso de tecnologias como a Dark Web e outros serviços de anonimato, capturar os envolvidos pode ser uma tarefa difícil. Um que no início pode ser quase impossível. No entanto, com o tempo, os pesquisadores podem descobrir quem está por trás do ataque ou, em muitos casos, uma série de ataques. Relatar o incidente permite que os investigadores acedam informações vitais necessárias para fazer exatamente isso.
Em segundo lugar, quanto mais dados forem recolhidos, melhor em termos de conscientização e educação. Este é o caso no que diz respeito à aplicação da lei e outras autoridades encarregadas de se defender contra o crime cibernético a ser capazes de emitir alertas. Normalmente, estes alertas contêm informações sobre táticas usadas por gangues específicas, vetores favorecidos de comprometimento e medidas que podem ser tomadas por outras organizações para ajudar a evitar que sejam vítimas de ransomware específica coberta pelo alerta. Para tornar estes alertas eficazes no combate a gangues de ransomware, as informações devem ser da mais alta qualidade e os relatórios das vítimas sobre os incidentes ajudam a garantir que as informações corretas sejam disseminadas.
Por último, é importante discutir a natureza internacional do cibercrime. As organizações de criminosos cibernéticos, como gangues de ransomware, têm como alvo organizações fora de seu país de origem por vários motivos. Na Rússia, como foi bem documentado, o governo fecha os olhos aos criminosos cibernéticos que visam organizações estrangeiras, pois os ataques não prejudicam a política de relações exteriores do governo ou podem até mesmo promover objetivos específicos.
Essas influências geopolíticas podem tornar difícil para as agências de aplicação da lei conduzir essas pessoas à justiça, mas não é impossível. Muitas agências de aplicação da lei trabalham juntas para combater o crime cibernético, incluindo organizações internacionais como a Interpol e Europol. Os incidentes relatados ajudam a fechar o ringue contra os criminosos cibernéticos, levando à apreensão de servidores e prisões se os pontos-chave da organização viajarem para o exterior. Os governos também podem impor sanções aos estados que acreditam abrigar criminosos cibernéticos.
As razões acima certamente sugerem que relatar incidentes de ransomware beneficia as agências de aplicação da lei, mas e a organização que é afetada? Quando incidentes são relatados, a aplicação da lei é capaz de fornecer conselhos valiosos de remediação que podem ser facilmente benéficos para a recuperação rápida de uma organização. Além disso, várias agências de aplicação da lei estabeleceram parcerias com empresas de segurança privada para disponibilizar desencriptadores gratuitos para as pessoas afetadas. Relatar um incidente pode ajudar os líderes de negócios a obter o desencriptador que precisam para se recuperar de um ataque. Parcerias como a No More Ransom estão a procurar criar uma base de dados de informações de ransomware juntamente com descodificadores para ajudar todos os afetados.
Como reportar um incidente de ransomware?
Para reportar um incidente, a autoridade local relevante precisará ser contatada. Mas antes, isso pode acontecer, pois muitos dados forenses relativos ao incidente precisam ser recolhidos. Isso pode ser feito por uma equipa de TI qualificada. Note que as informações necessárias para relatar um ataque de ransomware serão diferentes dependendo do fato de estar relatando um ataque na sua empresa ou simplesmente como um utilizador de computador pessoal. Em geral, as organizações podem ser solicitadas a fornecer as seguintes informações ao relatar o incidente:
- As informações da sua organização (setor, tipo de negócio, porte) e quem está melhor colocado para se comunicar com as autoridades daqui para frente.
- Data e hora aproximadas do ataque de ransomware.
- Como o ataque ocorreu (através de uma ligação ou anexo de e-mail, vulnerabilidade explorada, porta RDP configurada incorretamente, etc.)
- Uma cópia ou foto do pedido de resgate ou ecrã de bloqueio.
- Nome da variante de ransomware (geralmente incluído na nota de resgate ou extensão de ficheiro encriptada adicionada após a encriptação).
- Quaisquer endereços IP relevantes que estejam conectados à sua rede que não reconheça.
- A extensão de arquivo dos ficheiros encriptados.
- Endereço de e-mail, URL ou qualquer outro método de comunicação fornecido pelo ator da ameaça.
- Cópias eletrónicas de qualquer comunicação que teve com o autor da ameaça.
- O endereço da carteira bitcoin do ator da ameaça, geralmente fornecido na nota de resgate ou em comunicações subsequentes com o invasor.
- Montante do resgate exigido e valor do resgate pago.
- Perdas gerais associadas ao ataque de ransomware, incluindo o valor do resgate.
Se for vítima de ransomware, relate este incidente às autoridades localizações:
Austrália ACSC |
Áustria Polizei |
Bélgica Police |
Brazil Polícia Federal |
Bulgária CyberCrime |
Canadá Centre for Cyber Security |
Croácia Ministry of the Interior |
Chipre Cyber Crime Police |
República Checa Policie |
Dinamarca Politi |
Inglaterra Action Fraud |
Estónia Politsei |
Finlândia Poliisi |
França Ministère de l'Intérieur |
Alemanha Polizei |
Grécia Hellenic Police |
Hong Kong Hong Kong Police |
Hungria Rendőrség |
Índia Cyber Crime Cell |
Irão Cyber Police |
Irlanda Garda Síochána |
Israel Nomoreransom project |
Itália Polizia di Stato |
Japão Cybercrime Project |
Letónia Policija |
Lituânia ePolicija |
Luxemburgo Police |
Malta Pulizija |
Holanda Politie |
Nova Zelândia Police |
Rússia Ministry of Internal Affairs |
Escócia Police Scotland |
Singapura Singapore Police Force |
Eslováquia Ministerstvo Vnútra |
Eslovénia Policija |
Coreia do Sur National Police Agency |
Espanha Policía Nacional |
Suécia Polisen |
Ucrânia Cyber Police |
Estados Unidos IC3 |