O ransomware, sequestro de informações de indivíduos ou empresas com pedido de resgate, é um crime digital que está em alta já há alguns anos. Muitos cibercriminosos entenderam que essa é uma ação de baixa complexidade de criptografia e bastante lucrativa, o que faz o número de casos crescer a cada dia.
No que tange o âmbito das organizações, o estudo “Resposta a Ransomwares” realizado pela Trend Micro¹, verificou que há nas empresas uma discrepância entre as ações de segurança da informação que efetivamente evitam que os ataques hackers ocorram. O levantamento apontou que 53% das companhias americanas foram vítimas de uma investida de ransomware no ano passado e que 42% sequer se deram conta da frequência que são atacadas.
Uma das discussões que o deixou nacionalmente conhecido por indivíduos comuns foi o sequestro das fotos privadas de uma atriz brasileira famosa, em 2012. Por meio de uma invasão em um laptop, o hacker responsável pela ação solicitou o pagamento de R$10 mil para devolver as imagens. Sem negociação, as fotos foram divulgadas e o caso se tornou público.
Esse fato foi responsável por gerar um dos primeiros debates sobre a questão do direito digital e proteção das vítimas de crimes cibernéticos no Brasil e resultou na criação da lei “Carolina Dieckmann” 12.737/12, que aborda a invasão de dispositivos informáticos e suas punições, dentre o qual “
Extorsão digital e as punições vigentes na legislação brasileira
Há poucos anos, o medo das pessoas era de serem sequestradas no caminho para casa ou durante um passeio com a família. Hoje, o pavor ainda existe, mas se estendeu para além das ruas.
Com os ataques de ransomware, embora os pedidos de resgates, assim como na forma de sequestro original, continuem sendo o dinheiro, eles são feitos no âmbito digital em troca da liberação de informações privadas sensíveis. Com baixas chances de rastreamento, os cibercriminosos negociam uma quantia significativa e tentam extrair o máximo de suas vítimas.
A questão, porém, é que existe um risco de o pagamento ser efetuado e o hacker não devolver os dados. Não existe uma confiança, pois as informações não estão criptografadas em chaves IPs conhecidas e o risco se torna iminente.
Em outras proporções, os atacantes virtuais estão sofisticando cada vez mais os ataques, criando ransomware que já são preparados para receber o dinheiro e se auto excluir, apagando também os arquivos de suas vítimas.
Na série “Black Mirror”, do Netflix, um dos episódios mostra a extorsão de um jovem que teve seu computador hackeado. Ao tentar eliminar vírus de seu equipamento, um trojan é instalado e o cibercriminoso tira fotos do rapaz em posições obscenas. Claro que a proporção que essa discussão toma é extrema, pois o atacante obriga a vítima a cometer crimes impensáveis, que caso ele não os efetuem, promete expor as fotos do rapaz nas mídias sociais.
O interessante dessa história é poder analisar como fotos na praia, do pet, dos filhos, imagens em um momento de intimidade, informações privadas ou dados financeiros sem uma proteção da segurança da informação, pode se tornar uma grande ameaça.
E, indo mais ainda profundamente, e se as imagens e protocolos de uma UTI, por exemplo, são invadidos e requisitados os resgates? O que fazer?
Isso já acontece em algumas instituições e muitos hackers são audaciosos e chegam até mesmo a contatar a família por telefone para extorqui-las. É mais do que provado que dados de saúde são os mais críticos e importantes e esse pode ser um novo mercado em expansão para esses cibercriminosos.
A legislação brasileira considera a invasão de dispositivos e a extorsão como crimes e já há casos de condenações criminais no Brasil.
No primeiro caso, a pena é a reclusão de três meses a um ano, seguida de multa. No segundo, é a prisão de quatro a dez anos. A questão é saber se será possível encontrar o executor para puni-lo devidamente e isso, como foi mencionado, é um processo longo, custoso e muitas vezes com agentes que recebem criptomoedas localizados fora do Brasil.
O que fazer em caso de extorsão virtual? Deve-se pagar ou não o resgate?
Somente quando acontece é que as pessoas se dão conta do valor das informações “aprisionadas” e começam a ponderar sobre as formas de recuperação dos dados. Quando os valores pedidos para o resgate são baixos, muitos decidem por pagar e sequer reportam para as autoridades o ocorrido.
Sem juízo de valor, pagar pode ser um ato de desespero que gere resultados imediatos, mas existem casos aonde mesmo após o pagamento os dados não foram liberados porque os hackers não tinham mais as chaves utilizadas para encriptar ou de ataques sucessivos, nos quais os valores dos resgates passaram a ser cada vez maiores.
Além disso, mesmo com a liberação daquele ataque, as ameaças e vulnerabilidades utilizadas para a invasão continuam existentes e poderão ser aproveitadas para outras ameaças.
Também, ao optar-se por fazer o pagamento sem o início de uma investigação, tanto os pagamentos quanto os procedimentos poderão não ser rastreados, o que impedirá a localização dos criminosos e sua punição.
Em todos os sentidos, a segurança das informações nunca pode ser deixada de lado. Quando se fala em empresas, instituições de saúde e outras, a proteção deve ser imperativa, com gerenciamento 24x7x365 e uma força de trabalho que consiga identificar as possíveis ameaças antes que elas ocorram.
No caso dos indivíduos, que são os mais vulneráveis, é necessário estar atento ao uso de antivírus em todos os dispositivos, móveis ou não e evitar registrar fotos e situações que possam ser alvo fácil para os atacantes. É preciso redobrar o cuidado, assim como é feito no caminho para casa ou num passeio.
