Projeto de lei busca criminalizar golpes com ransomware no Brasil

Devido ao aumento dos ataques de Ransomware no brasil a única saída é buscar um projeto de lei que ajude e auxilie as pessoas quando sofrem esse tipo de ataque.

Serviços públicos, empresas privadas e famosos estão entre as principais vítimas de ataques de ransomware, cujos dados foram sequestrados e publicamente vazados online.

Devido a esse problema crescente, recentemente foi criado um projeto de lei para tipificar e criminalizar esses ataques virtuais.

Uma pesquisa efetuada recentemente pela Palo Alto Networks demonstra a gravidade do problema no último ano (2021).

Na pesquisa, foi constatado um aumento de 85% de vítimas de ataques de ransomware em comparação ao ano anterior (2020).

Com esse cenário em vista, o Projeto de Lei Nº 879/2022 de autoria do senador Carlos Viana (PL-MG) busca criminalizar o sequestro de dados, infringindo pena de reclusão de 3 a 6 anos aos infratores.

Caso o sequestro de dados ocorra com o objetivo de obter pagamento de resgate, ou qualquer outra vantagem ilícita, o autor responderá por crime qualificado. Dessa forma, a pena será agravada para até 8 anos.

O que dizem os especializas que ajudaram na criação do Projeto de Lei?

O projeto de lei proposto pelo parlamentar foi redigido com a ajuda da advogada e especialista em direito digital Patrícia Peck.

A especialista afirma que o texto legislativo também almeja alterar a redação do Código Penal para punir, de forma mais efetiva, com pena de reclusão de 2 a 5 anos (além de multa), a invasão de qualquer dispositivo eletrônico que resulte na obtenção de dados pessoais.

Um ransomware trata-se de uma violação de privacidade, um direito previsto para os cidadãos na Constituição Federal.

No momento, o projeto de lei está em tramitação no Plenário do Senado Federal.

Contudo, enquanto o projeto de lei não é aprovado, é necessário que empresas saibam como se proteger desses ataques e se eduquem a respeito da gravidade do problema.

O que é um Ransomware?

Ransomware é um software malicioso que criptografa arquivos usando uma chave conhecida apenas pelo operador do malware, que então exige um resgate em troca do fornecimento da chave para descriptografar os dados.

A demanda de resgate normalmente pede pagamento em uma criptomoeda não rastreável.

Se a vítima pagar, ela geralmente, embora nem sempre, recebe a chave e pode, portanto, recuperar os dados perdidos.

As variantes mais comumente encontradas no último ano incluíram REvil/Sodinokibi, Hades e DoppelPaymer, embora um dos ataques mais impactantes do ano tenha sido realizado pelo grupo cibercriminoso Darkside.

Este ataque, contra Colonial Pipeline, interrompeu o fornecimento de combustível para a Costa Leste dos EUA por uma semana em maio e resultou em um pagamento de resgate de 75 bitcoins, equivalente a US$ 4,4 milhões no momento em que o resgate foi pago.

O que causa o Ransomware?

O ransomware depende de uma vulnerabilidade existente para se infiltrar em um sistema de destino.

Os métodos mais comuns de infiltração são ataques de phishing, ataques de força bruta, ataques contra serviços RDP inseguros e a exploração de vulnerabilidades de software.

Por exemplo, o ransomware REvil/Sodinokibi se espalhou por meio de ataques de força bruta e explorações de servidor, entre outros métodos.

Inicialmente, ele usou uma vulnerabilidade no Oracle WebLogic para baixar o código que criptografa os arquivos da vítima, mas o método usado muda com o tempo porque o ransomware está em constante evolução à medida que os criminosos procuram explorar novas vulnerabilidades.

Os dados criptografados por Ransomware podem ser recuperados?

As empresas devem assumir que, uma vez que seus dados são criptografados por ransomware, na maioria dos casos, eles não podem ser recuperados.

O Ransomware usa tecnologia criptográfica sofisticada que não pode ser revertida sem a chave.

No passado, especialistas em segurança conseguiram reverter a criptografia de ransomwares mal codificados, porém é improvável que isso aconteça novamente em ransomwares modernos.

Em alguns casos, incluindo REvil/Sodinokibi, as agências de aplicação da lei conseguiram identificar e se infiltrar na infraestrutura do operador de ransomware, permitindo que extraíssem a chave mestra e construíssem o software de descriptografia.

No entanto, é raro que isso aconteça em um período aceitável para as empresas, e o resultado mais provável de um ataque bem-sucedido é que os dados sejam irremediavelmente perdidos até que a vítima pague um resgate e o invasor forneça uma chave de descriptografia.

Embora não haja garantia que os dados serão recuperados mesmo que o resgate seja pago.

As empresas devem pagar o resgate de um Ransomware?

A tentação de pagar um resgate é compreensível, especialmente se sua empresa estiver enfrentando graves interrupções porque dados críticos não estão mais disponíveis para funcionários ou clientes.

Muitas empresas optam por pagar. Mas, como mencionamos anteriormente, as empresas que pagam recebem apenas alguns dos seus dados de volta, apenas um grupo pequeno de sortudos, se há alguma sorte nisso, recebem tudo de volta.

Além disso, os invasores podem copiar seus dados. E se torna cada vez mais comum que os invasores de ransomware vendam ou divulguem dados roubados.

Na verdade, alguns invasores não criptografam os dados. Eles o roubam e prometem apagar o que roubaram se pagarem um resgate, não é preciso dizer que os criminosos nem sempre são honestos, certo?

O FBI aconselha as empresas a não pagarem resgates pelos motivos que discutimos. Também incentiva as empresas a denunciar ataques de ransomware ao Internet Crime Complaints Center.

Como prevenir um Ransomware: 6 práticas recomendadas de proteção.

Depois que a única cópia dos dados de uma empresa é criptografada pelo ransomware, suas opções são limitadas. Portanto, é preferível prevenir a infecção em primeiro lugar e garantir que dados importantes sejam copiados para um local que o ransomware não possa alcançar.

1. Atualize regularmente o software para aplicar patches de segurança

Muitas infecções de ransomware começam com vulnerabilidades de software. O invasor explora a vulnerabilidade para obter acesso a uma rede e, em seguida, usa esse acesso para se infiltrar em seu sistema.

Não é possível garantir que um sistema esteja livre de vulnerabilidades exploráveis, mas a atualização regular do software garante que as vulnerabilidades conhecidas sejam reparadas.

Para destacar a importância de patches regulares de software: a vulnerabilidade EternalBlue, que foi amplamente explorada pela catastrófica campanha de ransomware WannaCry, foi corrigida por um patch de software meses antes do início dos ataques.

As vítimas estavam vulneráveis ​​porque não tinham atualizado o software a tempo.

2. Backup de dados para um local remoto seguro

O ransomware é eficaz porque priva as empresas dos ativos de dados de que precisam. Mas isso não pode acontecer se os dados também existirem em um local externo seguro ao qual o malware não pode acessar.

Ransomware sofisticado é capaz de encontrar e criptografar backups locais em sistemas conectados, portanto, um backup eficaz deve copiar dados para um sistema que não seja facilmente acessível pela rede local.

Portanto, se a empresa tiver um backup atualizado, eles podem simplesmente excluir os sistemas infectados e restaurar ou implantar a infraestrutura de recuperação de desastres na nuvem com seus aplicativos e os dados de backup.

3. Implementar políticas de acesso de privilégio mínimo

Os dados devem ser acessíveis apenas aos usuários e serviços que precisam deles.

Por isso, quanto mais pessoas tiverem acesso, maior a probabilidade de as credenciais serem vazadas ou roubadas. Portanto se um indivíduo não precisar mais de acesso, revogue suas permissões.

Limite as permissões àquelas que são necessárias. Por exemplo, se um usuário precisar ver informações, mas não alterá-las, certifique-se de que ele tenha apenas permissões de leitura e não permissões de gravação no banco de dados, disco ou serviço de armazenamento em nuvem que armazena os dados.

4. Siga as práticas recomendadas de configuração de infraestrutura física e de nuvem

Erros de configuração de nuvem geralmente levam a vulnerabilidades que um invasor de ransomware pode explorar.

Por exemplo, a permissão de acesso configurada incorretamente em buckets do AWS S3 pode permitir que invasores de ransomware baixem, editem e excluam dados.

Por isso, garanta que sua empresa siga as práticas recomendadas do setor para segurança de dados. Se sua empresa não tiver experiência para proteger seus dados, contrate um profissional que possa avaliar sua implementação de segurança e fornecer orientação.

5. Realizar avaliações regulares de risco de segurança

Os ataques de ransomware geralmente ocorrem porque uma empresa não entende os riscos associados ao seu comportamento ou à implementação do sistema.

O exemplo BlueEternal discutido acima é uma ilustração útil;

A maioria das empresas sabe que atualizar o software é uma boa ideia, mas opta por não fazê-lo porque não compreendem a seriedade e o custo potencial de viver com esse risco.

As avaliações de risco ajudam as empresas a entender possíveis ameaças à segurança, incluindo ameaças que podem levar a um ataque bem-sucedido.

6. Implementar treinamento de conscientização de segurança

Os ataques de phishing são um dos vetores de ransomware mais explorados. Os invasores enviam um e-mail para funcionários ou gerentes contendo um link.

Este link leva o alvo para um site que infecta seu sistema com malware ou que os engana para inserir credenciais de autenticação.

Uma maneira de combater o phishing é garantir que os funcionários reconheçam os sinais. Para conseguir isso, você precisará treinar todos os funcionários que possam representar um risco.

O que esperar do futuro?

A resposta curta é que os ransomwares não vão desaparecer tão cedo.

Provavelmente, continuaremos a ver os criminosos ficando cada vez mais preparados para infligir o máximo de problemas e interrupção em empresas privadas e serviços públicos para gerar algum tipo de ganho financeiro.

Além disso, a sofisticação dos ataques está ficando mais complexa. Portanto, exigem soluções cada vez mais sofisticadas para detectar e, obviamente, para as empresas de defesa cibernética, está se tornando cada vez mais difícil mitigar os problemas em tempo hábil.

É por esse, e outros motivos, que a aprovação do Projeto de lei n° 879, de 2022 pode ser um bom começo para que esses criminosos sejam punidos e o problema seja mitigado devido a opressão do estado.

Mas enquanto não ocorre a aprovação desse projeto de lei é importante que a sua empresa esteja junto com uma empresa que faça testes de intrusão e vulnerabilidade para que assim você evite problemas com ataques cibernéticos.

Conte com a Aser e os nossos especialistas para auxiliar a sua empresa na manutenção da segurança cibernética.