Ataques cibernéticos de extorsão contra grandes empresas cresceram exponencialmente no último ano, e as famílias de ransomware cresceram no mesmo ritmo. Bloqueamos mais de 100 milhões desde outubro de 2015. Só as novas famílias cresceram em 100% nos primeiros seis meses de 2016, detectamos e bloqueamos mais de 50 novas famílias desde janeiro. Em comparação, em 2014 e 2015 apenas 49 famílias de ransomware foram detectadas e bloqueadas.
Essa ameaça cibernética crescente não passou despercebida, como evidenciado pelas recentes audiências do Subcomitê de Crime e Terrorismo do Senado dos EUA discutindo Ransomware: Entendendo a Ameaça e Conhecendo Soluções. Nessas audiências, Richard W. Downing, Representante do Subprocurador Geral do Departamento de Justiça testemunhou a crescente onda de ciberataques destrutivos. Downing tem sido um grande defensor da luta, juntamente com agentes legais federais para visar, investigar e processar muitos dos mais famosos cibercriminosos durante os últimos anos. Downing declara em seu depoimento:
“O escopo da ameaça do ransomware é impressionante. Entre 2005 e 2015, O Centro de Reclamações de Crimes da Internet (“IC3″) comandado pelo FBI recebeu mais de 7.600 reclamações de ransomware, com quase um terço delas recebidas apenas em 2015…”
Esse aumento só pode ser atribuído à proliferação e evolução de botnets. Essas botnets permitiram que as redes dos cibercriminosos enviassem ransomware altamente capazes de uma maneira mais direcionada. Na realidade, pode-se dizer que essas botnets agora se transformaram em grandes empresas de ransomware-como-um-serviço (RaaS). A natureza perniciosa desses fornecedores de RaaS deram aos cibercriminosos, tanto os qualificados como os não qualificados, a oportunidade de escalar. Onde os ransomware historicamente se concentravam em usuários, agora como essa infraestrutura os cibercriminosos são capazes de visar grandes empresas e monetizar sua atividade criminosa em dias ou semanas. Outros ataques cibercriminosos “tradicionais “exigem mais tempo para coletar, escolher e vender dados para faturar nos submundos cibercriminosos.
Downing descreve em seu depoimento que o problema crescente enfrentado pelas agências e agentes legais está parcialmente em sua inabilidade de visar efetivamente a infraestrutura criminosa por trás desses ataques. Não há uma infraestrutura legal abrangente que as agências legais possam utilizar para investigar e processar esses fornecedores de RaaS. A única lei que chega perto é a Lei de Fraude e Abuso de Computadores (CFAA), que está lamentavelmente ultrapassada e inadequada. Como está escrita atualmente, a CFAA não consegue criminalizar a venda desses serviços criminosos. Portanto, Downing discute a necessidade de atualizar a CFAA para prover adequadamente os agentes da lei com as ferramentas necessárias para resolver a ameaça crescente do ransomware.
“Apesar de muitos desafios, as agências legais estão trabalhando ativamente para interromper e derrotar os esquemas de ransomware. Atualmente, o FBI tem mais de 30 investigações ativas sobre variantes diferentes de ransomware. E esse trabalho duro conseguiu alguns sucessos notáveis. Em 2014, por exemplo, o Departamento de Justiça interrompeu um esquema de ramsomware que usava o Cryptolocker, um malware muito sofisticado que criptografou arquivos de mais de 260.000 computadores em todo o mundo. Depois de infectados, as vítimas viam uma mensagem em seus monitores, dizendo que seus arquivos tinham sido criptografados e que tinham três dias para pagar um resgate, normalmente entre $300 e $750 dólares se quisessem receber a chave de decodificação. Estima-se que foram feitos pagamentos de resgate de mais de $27 milhões de dólares apenas nos dois primeiros meses após o lançamento do Cryptolocker.
Para desmontar o Cryptolocker e o malware que deu acesso aos computadores das vítimas, o Departamento entrou com uma ação multinacional que apreendeu dos servidores de computadores que serviam de hubs de comando e controle para o malware Cryptolocker. O Departamento também identificou as vítimas, trabalhando com nossos parceiros no Departamento de Segurança Nacional “DHS”) e também com agências estrangeiras e o setor privado, facilitando a remoção do malware dos computadores de muitas vítimas.
Esse é um ponto que merece destaque. Nosso sucesso contra o Cryptolocker e respectivo malware só foi possível devido à assistência inestimável fornecida por empresas de tecnologia como a Dell SecureWorks, Microsoft, Deloitte Cyber Risk Services, Symantec, Trend Micro e muitas outras, além de universidades como a Carnegie Mellon e a Georgia Tech”.
Uma das soluções destacadas por Downing e os outros depoimentos como expandir a autoridade das cortes para emitir liminares para encerrar ataques assim que forem detectados; expandir e atualizar a CFAA para fornecer as ferramentas necessárias para agentes da lei. O que eu não ouvi foi a grande necessidade de uma estratégia de cibersegurança global. A estratégia exige que os governos e o setor privado através de infraestruturas legais, tratados e parcerias, eliminem os portos seguros em que esses atores de ameaças operam. Eles prosperam nas sombras em refúgios seguros, físicos e virtuais. Só com uma estratégia holística global podemos levar esses cibercriminosos à justiça e assim reduzir bastante o risco cibernético global.