Pagar quando você é infectado com ransomware? Demasiados cinzas

A Internet está cheia de artigos que explicam por que o ransomware não deve ser pago. E eles provavelmente estão certos, mas se você não diferenciar entre o tipo de ransomware e quem é afetado, os motivos apresentados podem não fazer muito sentido. Portanto, é necessário explicar bem as circunstâncias da pessoa afetada para entender porque ela não deve ser paga e, acima de tudo, entender bem a situação para tomar as decisões cabíveis.

Dois tipos de ransomware

A primeira coisa é deixar claro que existem dois tipos de ransomware. O primeiro apareceu em grande escala por volta de 2012, como uma evolução natural do malware “vírus da polícia” e afetou o usuário médio. Desde 2017, não desapareceu, mas sua incidência caiu consideravelmente. Foram ataques a vítimas aleatórias desavisadas, pedindo quantias grandes, mas acessíveis, por um indivíduo. Esse tipo de ataque «doméstico» talvez tenha uma resposta mais direta: não deve ser pago a menos que haja uma boa razão para isso. Ninguém garante que os arquivos serão devolvidos (um exemplo engraçado é esta anedota no qual, apesar de não ter infectado nada, o atacante insistia em que ele deveria pagar a ele). Nem a vítima é extorquida novamente. E na maioria das vezes, é mais do que provável que o usuário possa continuar vivendo sem muitos de seus arquivos, dados, etc. Mas… e se o seu negócio, sustento, clientes e futuro dependerem da recuperação desses dados? Portanto, a resposta fica complicada.

Quando o ataque é profissional

Porque este não é o momento de culpar a vítima (ela já tem o suficiente) porque seu backup também foi criptografado, não funcionou ou simplesmente não tinha. Em um ataque de ransomware profissional tudo é mais complexo, estamos falando de campanhas que têm conseguido envolver meses de trabalho e estudo para o atacante, com o único objetivo de entrar nas entranhas da rede (às vezes enormes) e, no exato momento, tirar o controlar e criptografar tudo. Agora é tarde demais. Todo o sistema é criptografado e às vezes leva meses para verificar não apenas se o sistema foi recuperado, mas também se os invasores não podem entrar novamente. Aqui, todos os dias perdem-se milhares e milhares de euros por não poderem operar, pela frustrante impossibilidade de realizar o negócio. A situação é muito mais crítica e grave, e é por isso que os agressores pedem a ordem de milhões de euros pelo resgate. Nesse momento começa uma negociação, porque quando há tanto em jogo, não pagar não é algo que se descarta de imediato. Como na vida real com sequestros de pessoas, em que o pagamento é uma opção sempre considerada.

Mas é sempre a última opção. Na verdade, é uma opção que pode acabar sendo oficialmente ilegal. Em julho de 2019, a confederação de prefeitos dos Estados Unidos, em sua reunião anual, recomendou não pagar. Se pagos, eles são incentivados a continuar atacando, disseram. Nesse caso, o estabelecimento não ia além da pura posição “moral”, pois não era vinculativo. Em seguida, foi mais longe, duas propostas de dois senadores (um democrata e um republicano) contemplaram em janeiro de 2020 que seria proibido gastar dinheiro público nesses resgates. O senador republicano também propôs a criação de um fundo para ajudar as organizações a melhorar sua segurança cibernética.

Ele continua a ir mais longe. Agora, o Escritório do Tesouro de Controle de Ativos Estrangeiros (OFAC) relata que “as empresas facilitando pagamentos de ransomware a cibercriminosos em nome de vítimas, incluindo instituições financeiras, seguradoras e empresas envolvidas em análise forense e resposta a os incidentes não apenas alimentam futuras demandas de pagamento de ransomware, mas também correm o risco de violar os regulamentos do OFAC. » O objetivo seria multar tanto quem paga, como os intermediários e quem recebe o dinheiro (caso se identifiquem).

Mais figuras do que você imagina

Na realidade, a recomendação se resume em que ao invés de pagar, deve-se colaborar com as forças da ordem e não envolver intermediários “disfarçados” sob pena de já terem cometido algo ilegal e criminalizado. A razão? Muitos mais afetados do que pensamos que estão pagando, a ponto de o próprio processo de pagamento se tornar um negócio.

O negócio de ransomware se industrializou tanto do ponto de vista dos atacantes (técnicas muito elaboradas, um tratamento muito profissional …) quanto do ponto de vista das vítimas, que já usam intermediários e outras figuras como as seguradoras para lidar com para a crise. Quando a continuidade dos negócios é crítica, as empresas afetadas buscam vários caminhos. Claro, a tentativa de recuperação técnica, avaliação de danos, etc. Mas outras vias «diplomáticas» também estão sendo iniciadas, que podem incluir o contato com os atacantes e com outras empresas.

Com os atacantes, você barganha e negocia, estabelecendo uma linha de diálogo como se fosse qualquer outro tipo de transação. Os extorsionários podem até oferecer conselhos úteis após o check-out da vítima. E como qualquer negociação, pode ser delegada. À luz desse negócio sombrio de extorsão, surgiram intermediários que oferecem serviços de “consultoria” que envolvem enfrentar a negociação e pagar o resgate. Nesse cenário industrializado, o pagamento normalmente não garante a recuperação. Ainda mais longe, as seguradoras podem atuar como intermediárias. Pode ser mais recompensador para essas empresas pagar aos invasores do que aos afetados pelos danos, dependendo do que o seguro cobre.

Enfim, um quadro complexo onde nem tudo fica tão claro quando se fala em números e, sobretudo, muito distante do ambiente doméstico onde as diretrizes costumam ser mais claras. As novas leis dos Estados Unidos procuram estrangular os extorsionários, evitando que seus negócios sejam lucrativos … mas essa medida pode não ser suficiente porque a continuidade de negócios legítimos costuma pesar mais. Sobrevivência… não a qualquer preço, senão ao custo (infelizmente) imposto pelos criminosos.