Ransomware financia mais ransomware – como podemos impedir isso?

32

Finja, por um momento, que você é o presidente. Essa coisa de ransomware está aumentando. Tipo, hackers bagunçaram o suprimento de gás na Costa Leste – pesadelo! Você terá que tomar algumas decisões de política para fazer com que esses ataques terminem, porque essa é a escala da coisa.

Vamos começar com o fato óbvio e incontestável: o número de ataques de ransomware está aumentando porque as empresas estão pagando os resgates.

O hack do Colonial Pipeline é um bom exemplo. A empresa gastou US $ 4,3 milhões para desbloquear seus computadores. Afinal, o ransomware é apenas extorsão. Como o coletivo DarkSide colocou em seu desculpas estranhamente corporativas por encerrar a Colonial Pipeline, “Nosso objetivo é ganhar dinheiro”. Maior gangue do crime cibernético Evil Corpexcelente branding btw – supostamente gosta de Lambos doentes. Interromper o ransomware é simples dessa forma: tudo o que você precisa fazer é cortar o dinheiro.

A questão é Como as, e nenhuma das opções é muito boa.

Você pode exigir a divulgação imediata de resgates. Você poderia proibir o pagamento de resgates de uma vez. Você poderia proibir a criptomoeda, que é como a maioria dos resgates são pagos. Você poderia aumentar a regulamentação sobre criptomoeda e talvez proibir certos tipos de trocas ou transações. Você pode tentar ser melhor amigo de Vladimir Putin, na esperança de que ele possa sacrificar alguns atores de ameaças. Seu Departamento de Defesa provavelmente também apresentou algumas idéias terríveis separadas, que tenho medo até de contemplar.

Cada escolha aqui dói, pelo menos no curto prazo. Mas vamos examiná-los.

Divulgação imediata de pagamentos de resgate

Os legisladores já vêm tentando fazer com que os resgates sejam divulgados, sem muito sucesso. Isso provavelmente ocorre porque a divulgação pública de um hack prejudica a reputação de uma empresa. Então, no momento, não sabemos a verdadeira extensão do problema do ransomware porque muitas empresas mantêm os hacks em segredo.

A divulgação imediata nos daria pelo menos uma noção melhor do que está acontecendo, mas haveria um custo: os hackers teriam mais influência. Por exemplo, os hackers criam alavancagem agora tornando pública a existência de um hack, o que cria pressão sobre a empresa para que as coisas voltem ao normal – pagando. Os cibercriminosos também criam alavancagem de maneiras mais feias: enviando e-mails e ligando para funcionários ou clientes da empresa vítima para contar a eles sobre o hack, diz Ali Arateh, diretor-gerente da Mandiant, uma empresa de segurança cibernética.

No início de junho, o pesquisador de segurança Kevin Beaumont twittou que enviaria um tópico das maiores vítimas de ransomware e extorsão – então ele decidiu não fazer isso, já que alguns dos hacks não eram públicos. “E lá se vão minhas esperanças de alavancagem,” tweetou de volta Mannus Gott, um dos grupos de ransomware em questão, que evidentemente esperava uma divulgação pública de seu hack para melhor pressionar a vítima. “O seu era um que eu estava olhando na época”, respondeu Beaumont.

Proibir pagamentos de resgate

No momento, é legal pagar o resgate: é até dedutível de impostos e o dinheiro geralmente vem da seguradora cibernética de uma empresa. Banir os resgates nos Estados Unidos cortaria o suprimento de dinheiro para os criminosos – provavelmente levando-os a mudar seu foco para outros países.

Esta política já está em vigor, de forma fragmentada. Os líderes da Evil Corp foram sancionado criminalmente para evitar que as pessoas paguem resgate, não porque a Rússia os extradite. Da mesma forma, os cidadãos norte-coreanos por trás do hack da Sony estão fora do alcance dos Estados Unidos, embora eu tenha certeza de que a polícia ficaria feliz em buscá-los se eles tirassem férias em um país com um tratado de extradição dos Estados Unidos. Se uma empresa paga um ator sancionado – ou uma carteira de criptografia sancionada – ela pode se colocar em perigo legal. Mas alguns ainda pagam! Cerca de 15 por cento de todos os pagamentos de ransomware, ou cerca de US $ 50 milhões em criptomoeda, estavam sujeitos a sanções, de acordo com Chainalysis.

Essa proibição gradativa também é parte do motivo pelo qual vimos o aumento de afiliados – um ator banido como a Evil Corp pode vender seu produto de software a um grupo que não é sancionado em troca de uma parte do resgate. Que o grupo então realiza o hack e exige resgate, e a empresa paga uma carteira não sancionada. É ransomware-as-a-service.

Ainda assim, tornando todos os pagamentos de resgate ilegais poderia reduzir o número de empresas que entregam seu dinheiro. No momento, cerca de 1 em cada 4 empresas que recebem pedidos de resgate realmente pagam, de acordo com empresa de segurança Sophos. “No longo prazo, interromper o resgate provavelmente interromperia isso, mas no curto prazo seria muito doloroso”, diz Tom Robinson, o fundador e diretor científico da Elliptic, uma empresa que rastreia transações de criptomoedas.

Seria doloroso pelo mesmo motivo que as empresas costumam pagar o resgate: de outra forma, elas poderiam fechar as portas. Muitos hackers visam deliberadamente os backups das empresas, diz Joshua Motta, cofundador e CEO da Coalition, uma seguradora cibernética. Se os backups da empresa não estiverem separados do resto da rede, eles podem ficar vulneráveis, diz ele. “É devastador”, diz ele.

E como se isso não bastasse, um monte de hacks duplo-dip – eles roubam dados, bem como sistemas de criptografia. Os dados podem então ser vendidos para outros ataques se o resgate não for pago, e podem incluir informações confidenciais, como números de previdência social retirados dos dados da folha de pagamento.

Também pode aumentar os custos de subscrição do seguro cibernético, embora isso seja discutível. De acordo com a pesquisa da Sophos, pagar o resgate realmente gera hacks mais caro porque as empresas ainda precisam fazer um trabalho muito sério para consertar seus sistemas e bloqueá-los Em cima de pagando o dinheiro do resgate. Não está claro se isso ainda seria verdade se mais empresas não tivessem escolha a não ser reconstruir seus sistemas de computador do zero.

Banir criptomoeda

O papel da criptomoeda no ecossistema de ransomware levou alguns a pedir banindo a criptomoeda completamente. Outros sugeriram regulamentando a mineração de criptomoedas como transmissores de dinheiro para dificultar o processamento das transações de resgate. “Acho que é hora de uma estratégia de 'regulamentar até a morte' de todo o governo, com base na regulamentação existente”, disse Nicholas Weaver, especialista em segurança de computadores do Instituto Internacional de Ciência da Computação em Berkeley, Califórnia, por e-mail. Esse também seria um caminho doloroso a seguir – não apenas explodiria os investimentos das pessoas em criptomoeda, mas também destruiria empresas inteiras com base em criptomoeda, como a Coinbase.

Também não está claro se a proibição da criptomoeda funcionaria; a maioria das criptomoedas é descentralizada. Bani-lo dentro das fronteiras dos Estados Unidos removeria muitos dos participantes mais honestos que atualmente estão em conformidade com as medidas do tipo conheça seu cliente, enquanto as bolsas mais sombrias baseadas fora dos Estados Unidos continuariam operando.

Mas o ransomware como o conhecemos é fortemente dependente de criptomoeda. Os pedidos de resgate em moeda tradicional exigem que os bancos ou processadores de pagamento sejam envolvidos no processo, e eles podem intervir para interromper o pagamento. Isso foi funcionalmente o que acabou com os "bloqueios de tela", que exigiam um pagamento com cartão de crédito para desbloquear o computador da vítima, de acordo com Ryan Olson, o vice-presidente de inteligência de ameaças da Unidade 42 da Palo Alto Networks. também torna mais fácil movimentar dinheiro rapidamente através das fronteiras.

No momento, os pagamentos de resgate são geralmente feitos em Bitcoin, embora Samantha Levine, vice-presidente sênior da prática cibernética da CAC Specialty, me diga que ela também viu pagamentos feitos em Ethereum e até mesmo em Dogecoin.

A criptomoeda como método de pagamento de ransomware tem um lado positivo: os blockchains públicos tornam a criptomoeda rastreável. Algumas criptomoedas, chamadas moedas de privacidade, são mais difíceis de rastrear. Por exemplo, o grupo DarkSide responsável pelo hack do Colonial Pipeline também teria aceitado resgate em Monero, uma moeda de privacidade, mas Monero não muda de mãos com tanta frequência quanto o Bitcoin. Isso torna difícil para as empresas adquirirem rapidamente a Monero para pagar o resgate. Em vez disso, a Colonial Pipeline pagou 75 Bitcoins, ou cerca de US $ 4,3 milhões. O FBI acompanhou as transações por meio do blockchain público para apreender e recuperar US $ 2,3 milhões em fundos.

Se a criptomoeda for totalmente proibida, muitas das iniciativas de privacidade naquele mundo podem, de repente, se tornar muito mais importantes. Por exemplo, existem serviços chamados misturadores que deixa as pessoas mover sua criptomoeda identificada para se misturar com outras transações de aproximadamente a mesma quantidade de dinheiro, idealmente ofuscando o histórico de transações. No momento, a maioria dos jogadores de criptomoeda não os usa – mas se a criptomoeda se tornar ilegal, seu uso pode muito bem aumentar. Vitalik Buterin, criador do Ethereum até sugeriu a criação de um mixer na cadeia Ethereum.

Outra maneira de ocultar as transações é usar uma carteira de privacidade, como o Wasabi, com recursos integrados para tornar as transações difíceis de seguir. Direcionar todo o uso de criptomoedas para esses tipos de carteiras tornaria ainda mais difícil rastrear os pagamentos de resgate.

Regulamentação de criptomoeda mais forte

Em algum ponto, os criminosos precisam sair da criptomoeda e voltar para a moeda tradicional, já que geralmente é assim que se paga pelos Lamborghinis. Dentro das fronteiras dos Estados Unidos, a criptomoeda já está regulamentada; bolsas de valores respeitáveis ​​cumprem as leis do tipo "saiba seu cliente" destinadas a prevenir a lavagem de dinheiro, por exemplo.

Mas nem toda bolsa é baseada nos Estados Unidos, e algumas não estão engajadas em práticas estritas de conhecer seu cliente. Mais dinheiro associado a criminosos passou pela bolsa Binance do que qualquer outra, de acordo com Chainalysis. Agora o governo dos EUA está investigando por lavagem de dinheiro.

Embora os jogadores de ransomware possam estar em qualquer lugar do mundo, existem alguns lugares onde eles se agrupam. DarkSide, o grupo responsável pelo Oleoduto Colonial, "não come na Rússia", Brett Callow, analista da Emsisoft, disse a Financial Times. Seu software de ransomware “verifica o idioma usado pelo sistema e, se for russo, fecha sem criptografar”.

Uma maneira de evitar as trocas é fazer acordos nos mercados de darknet, como o Hydra. Alguém pode, por exemplo, enterrar rublos em um local específico – e então, quando os atores da ameaça entregam seu bitcoin, eles recebem as coordenadas para desenterrar a moeda fiduciária, diz Robinson. Mas é difícil ver o que as pessoas estão fazendo no Hydra – também é possível que alguns cibercriminosos comprem ferramentas que podem usar em outros ataques, reinvestindo efetivamente em seus negócios.

Diplomacia e coordenação internacional

Você poderia combater o ransomware por meio da cooperação internacional – afinal, muitos nomes e localizações de hackers são conhecidos. Eles simplesmente não são extraditáveis. Mas porque os hackers não visam certos países do Bloco de Leste, esses países não vêem o ransomware como um problema sério, diz Adam Meyers, vice-presidente sênior de inteligência da Crowdstrike. “Essas pessoas estão pagando impostos”, diz Meyers. “Acho que há pessoas protegendo-os.”

A cúpula Biden / Putin em 16 de junho ressalta essa dificuldade. Um dos resultados dessa reunião foi a criação de reuniões de especialistas em segurança cibernética que podem decidir que certos tipos de infraestrutura estão "fora dos limites" para ataques, de acordo com The Washington Post. Mas isso não é a mesma coisa que banir o ransomware de uma vez ou ser capaz de perseguir hackers, como os da Evil Corp, na Rússia.

Para fazer isso, é possível que Putin peça concessões significativas, como o levantamento de algumas sanções impostas pelos EUA ou de qualquer outra forma fazer acordos que beneficiem a Rússia.

Nós vamos?

Então, onde isso deixa você, o presidente? Em nenhum lugar bom. Mas você terá que colocar seus aviadores de decisão porque os hacks estão aumentando. Até mesmo as seguradoras cibernéticas podem ser vítimas de ransomware. Seguradora cibernética CNA foi hackeado em março e pagou um resgate de US $ 40 milhões. A divisão da Ásia da seguradora cibernética Axa foi hackeado em maio.

“Chamamos 2020 de ano do ransomware, e estou me perguntando se devo chamar 2021 de ano do ransomware também”, disse Kim Grauer, diretor de pesquisa da Chainalysis. “Basicamente, estamos no caminho certo para superar 2020.”

As tendências que ela viu incluem pedidos de resgates maiores e um aumento na média de pagamentos indo para carteiras de ransomware conhecidas. E, assustadoramente, há mais dinheiro sendo movido entre cepas de ransomware e provedores de serviços ilícitos, diz Grauer. Os negócios vão bem e os hackers estão reinvestindo.

Fonte: The Verge