Pagamento de resgates por ransomware: os EUA, um exemplo?
Pagar um resgate incentiva a proliferação de ataques de ransomware e apoia financeiramente os cibercriminosos. De facto, as autoridades americanas decidiram sancionar as organizações americanas que cedessem à chantagem financeira dos hackers. O OFAC (Office of Foreign Assets Control do Departamento do Tesouro dos EUA) publicou vários avisos para sensibilizar particulares e organizações na luta contra os ataques de ransomware. Um desses avisos, publicado a 1 de outubro de 2020, oficializa as sanções relacionadas com o pagamento de resgates.
O OFAC esclarece que esta sanção se aplica igualmente às entidades que facilitam o pagamento de resgates aos cibercriminosos em nome das vítimas.
Assim, a proibição de pagar resgates aplica-se à organização vítima de pirataria e às empresas ou entidades com as quais a organização infectada mantém relações: instituições financeiras, seguradoras, consultorias digitais e serviços financeiros que facilitam o pagamento de resgates.
No entanto, o pagamento de um resgate pode ser efetuado, mas apenas por organizações que colaboram com o Tesouro dos EUA, o FBI e outras agências governamentais. (fonte: siliconangle.com).
Sem essa aprovação do governo, as organizações infringem as sanções do OFAC. As consequências jurídicas são graves, nomeadamente multas que podem chegar aos 20 milhões de dólares.
Ransomware: pagar ou não pagar?
Segundo a ZDNet, um estudo da IBM indica que «cerca de 70% das empresas vítimas de ransomware aceitam pagar aos cibercriminosos». Metade desses resgates ascende a mais de 10 000 dólares cada. A principal motivação destas organizações é recuperar os seus dados. Em particular, se estes dizem respeito a finanças, clientes, propriedade intelectual e projetos empresariais. Aliás, segundo a ZDNet, «60% dos dirigentes inquiridos reconhecem que pagariam para recuperar os dados».
Em França, não é ilegal pagar o resgate exigido. O assunto levanta inúmeras questões delicadas: com efeito, as empresas do CAC40 têm obrigações legais para com os seus acionistas, tal como as organizações do serviço público. Se uma lei as condenasse a sanções financeiras, ou mesmo a penas de prisão, a sua aplicação seria extremamente difícil.
Guillaume Poupard, diretor-geral daANSSI, recomenda não pagar, pois isso apoia financeiramente os extorsionários e, por conseguinte, os incentiva a continuar por esse caminho. Além disso, o pagamento de um resgate aos cibercriminosos não garante, de forma alguma, que a vítima recupere o acesso aos seus dados roubados. Os cibercriminosos podem, além disso, guardar uma cópia para os revender ou trocar na Dark Web, por exemplo.
Uma escolha difícil
Submeter-se?
- Pagar sabendo que esse ato incentiva os cibercriminosos a perpetrar futuros ataques. Ao pagar, uma organização contribui para criar um novo mercado para os cibercriminosos.
- Pagar e correr o risco de não conseguir recuperar ou descodificar os seus dados. Com efeito, os cibercriminosos nem sempre possuem a chave de descodificação dos ransomware adquiridos no mercado negro.
Resistir?
- Não ceder e, evidentemente, não entregar os seus dados, nem sofrer as consequências de um ciberataque (perdas financeiras, paragem ou perturbação dos sistemas de informação e da produção, perda de confiança, deterioração da imagem…).
