FacebookTwitterLinkedIn

Reportar o ransomware às autoridades

Tomas Meskauskas Escrito por a (atualizado)

Índice

  1. Os incidentes de ransomware devem ser relatados?
  2. Mais Razões.
  3. Como reportar um incidente de ransomware?
  4. Se for vítima de ransomware, relate este incidente às autoridades localizações.

Ser vítima de um ataque cibernético, quanto mais de um ataque de ransomware, requer a tomada de várias decisões difíceis. Resulta naturalmente de um relatório recente da Europol que comunicar o incidente às autoridades é uma dessas decisões difíceis. O relatório destacou como os incidentes de ransomware são subnotificados e, muitas vezes, as autoridades só ouvem sobre os incidentes através dos média, e não da vítima.

É fácil exigir que as vítimas de crimes os denunciem por inúmeras razões legais e éticas, muito menos para ajudar as autoridades a capturar que cometeram crimes. A realidade é que ser vítima de um crime tem um nível de estigma associado. Pode ser constrangedor admitir que foi enganado ou enganado. Para organizações que são vítimas de ataques de ransomware, este estigma parece ser uma das principais razões pelas quais o crime específico não é relatado.

relatar incidentes de ransomware às autoridades

O cenário atual de ameaças de ransomware evoluiu para incluir várias gangues de ransomware ou mesmo gags que formaram “cartéis” que visam especificamente grandes organizações, sejam  empresas privadas ou agências governamentais. Essa mudança, que ocorreu no início de 2019 para valer, resultou em grandes organizações, algumas empresas da Fortune 500, adicionadas a listas cada vez maiores de vítimas. Garmin, Canon, e Konica Minolta são apenas algumas das vítimas de alto nível que sofreram o impacto maciço de uma gangue de ransomware.

O estigma de ser vítima de ransomware ganhou um novo significado à medida que as empresas temem o impacto que tal ataque terá sobre os relacionamentos com clientes e partes interessadas. Esta pode ser uma das razões por trás da subnotificação do crime. Qualquer incidente cibernético não afeta apenas os resultados financeiros e a recuperação pode ser uma perspectiva cara, mas é de se esperar danos à reputação. Os especialistas consideram que ser transparente em relação a um incidente de ransomware pode ajudar a reparar o dano à reputação de forma mais eficaz do que quando são feitas tentativas de varrer o assunto para debaixo do tapete. O restante deste artigo é dedicado a explicar por que os incidentes de ransomware devem ser relatados às autoridades e, mais importante, como fazê-lo.

Os incidentes de ransomware devem ser relatados?

A resposta direta é sim, mas respostas diretas pouco fazem para transmitir a importância da pergunta em primeiro lugar. A resposta mais fácil a dar é que, para muitas organizações, que precisam aderir a certas partes da legislação de conformidade ou a um conjunto de padrões, as violações de dados precisam ser relatadas. Um ano atrás, poderia argumentar que um incidente de ransomware não equivale a uma violação de dados ou diferentemente um incidente cibernético em que informações confidenciais pertencentes a clientes ou utilizadores registados de um serviço foram comprometidas. O início de 2020 abalou o debate académico sobre se um ataque de ransomware foi uma violação de dados ou não.

Em janeiro de 2020, notícias começaram a surgir que o gangue do ransomware Maze estava a ameaçar libertar dados roubados das vítimas antes que o ransomware fosse executado e os dados encriptados.

Ataques de ransomware incluem exfiltração de dados

Rapidamente as ameaças tornaram-se uma realidade quando Maze começou a libertar dados, roubados através do que seria denominado de “site de vazamento”, normalmente hospedado num dos cantos da dark web. Isso colocava incidentes de ransomware específicos firmemente na categoria de violação de dados e precisava ser tratada como tal. Para muitas peças de legislação e padrões de conformidade, há um requisito de relatar incidentes às autoridades relacionadas especificadas na legislação.

É importante notar que, apesar da evolução dos ataques de ransomware que agora incluem exfiltração de dados, às vezes denominada de “extorsão dupla”, nem todos os ataques de ransomware também são violações de dados. O fator determinante será se os dados foram filtrados ou não. A evolução mais recente nas táticas são as gangues de ransomware que empregam centrais de atendimento para ameaçar ainda mais as vítimas. Em muitos países, este nível elevado de abuso pode ser considerado um crime e, portanto, também deve ser relatado às autoridades policiais.

Mais Razões

Se uma vítima for obrigada a relatar o ransomware por causa da legislação, existe um forte argumento para relatar o incidente. Existem vários outros motivos para relatar incidentes de ransomware, independentemente das leis que estipulam que deveriam. Em primeiro lugar, as informações que os encarregados da aplicação da lei obtêm do relato do incidente a fatos fornecidos por especialistas em segurança cibernética forense ajudam muito a capturar os envolvidos.

Devido aos altos níveis de anonimato proporcionados aos criminosos cibernéticos através do uso de tecnologias como a Dark Web e outros serviços de anonimato, capturar os envolvidos pode ser uma tarefa difícil. Um que no início pode ser quase impossível. No entanto, com o tempo, os pesquisadores podem descobrir quem está por trás do ataque ou, em muitos casos, uma série de ataques. Relatar o incidente permite que os investigadores acedam informações vitais necessárias para fazer exatamente isso.

quanto mais dados recolhidos sobre o incidente de ransomware, melhor

Em segundo lugar, quanto mais dados forem recolhidos, melhor em termos de conscientização e educação. Este é o caso no que diz respeito à aplicação da lei e outras autoridades encarregadas de se defender contra o crime cibernético a ser capazes de emitir alertas. Normalmente, estes alertas contêm informações sobre táticas usadas por gangues específicas, vetores favorecidos de comprometimento e medidas que podem ser tomadas por outras organizações para ajudar a evitar que sejam vítimas de ransomware específica coberta pelo alerta. Para tornar estes alertas eficazes no combate a gangues de ransomware, as informações devem ser da mais alta qualidade e os relatórios das vítimas sobre os incidentes ajudam a garantir que as informações corretas sejam disseminadas.

Por último, é importante discutir a natureza internacional do cibercrime. As organizações de criminosos cibernéticos, como gangues de ransomware, têm como alvo organizações fora de seu país de origem por vários motivos. Na Rússia, como foi bem documentado, o governo fecha os olhos aos criminosos cibernéticos que visam organizações estrangeiras, pois os ataques não prejudicam a política de relações exteriores do governo ou podem até mesmo promover objetivos específicos.

Essas influências geopolíticas podem tornar difícil para as agências de aplicação da lei conduzir essas pessoas à justiça, mas não é impossível. Muitas agências de aplicação da lei trabalham juntas para combater o crime cibernético, incluindo organizações internacionais como a InterpolEuropol. Os incidentes relatados ajudam a fechar o ringue contra os criminosos cibernéticos, levando à apreensão de servidores e prisões se os pontos-chave da organização viajarem para o exterior. Os governos também podem impor sanções aos estados que acreditam abrigar criminosos cibernéticos.

As razões acima certamente sugerem que relatar incidentes de ransomware beneficia as agências de aplicação da lei, mas e a organização que é afetada? Quando incidentes são relatados, a aplicação da lei é capaz de fornecer conselhos valiosos de remediação que podem ser facilmente benéficos para a recuperação rápida de uma organização. Além disso, várias agências de aplicação da lei estabeleceram parcerias com empresas de segurança privada para disponibilizar desencriptadores gratuitos para as pessoas afetadas. Relatar um incidente pode ajudar os líderes de negócios a obter o desencriptador que precisam para se recuperar de um ataque. Parcerias como a No More Ransom estão a procurar criar uma base de dados de informações de ransomware juntamente com descodificadores para ajudar todos os afetados.

Como reportar um incidente de ransomware?

Para reportar um incidente, a autoridade local relevante precisará ser contatada. Mas antes, isso pode acontecer, pois muitos dados forenses relativos ao incidente precisam ser recolhidos. Isso pode ser feito por uma equipa de TI qualificada. Note que as informações necessárias para relatar um ataque de ransomware serão diferentes dependendo do fato de estar relatando um ataque na sua empresa ou simplesmente como um utilizador de computador pessoal. Em geral, as organizações podem ser solicitadas a fornecer as seguintes informações ao relatar o incidente:

  • As informações da sua organização (setor, tipo de negócio, porte) e quem está melhor colocado para se comunicar com as autoridades daqui para frente.
  • Data e hora aproximadas do ataque de ransomware.
  • Como o ataque ocorreu (através de uma ligação ou anexo de e-mail, vulnerabilidade explorada, porta RDP configurada incorretamente, etc.)
  • Uma cópia ou foto do pedido de resgate ou ecrã de bloqueio.
  • Nome da variante de ransomware (geralmente incluído na nota de resgate ou extensão de ficheiro encriptada adicionada após a encriptação).
  • Quaisquer endereços IP relevantes que estejam conectados à sua rede que não reconheça.
  • A extensão de arquivo dos ficheiros encriptados.
  • Endereço de e-mail, URL ou qualquer outro método de comunicação fornecido pelo ator da ameaça.
  • Cópias eletrónicas de qualquer comunicação que teve com o autor da ameaça.
  • O endereço da carteira bitcoin do ator da ameaça, geralmente fornecido na nota de resgate ou em comunicações subsequentes com o invasor.
  • Montante do resgate exigido e valor do resgate pago.
  • Perdas gerais associadas ao ataque de ransomware, incluindo o valor do resgate.

Se for vítima de ransomware, relate este incidente às autoridades localizações:

Australia Austrália
ACSC		 Austria Áustria
Polizei		 Belgium Bélgica
Police
Brazil Brazil
Polícia Federal		 Bulgaria Bulgária
CyberCrime		 Canada Canadá
Centre for Cyber Security
Croatia Croácia
Ministry of the Interior		 Cyprus Chipre
Cyber Crime Police		 Czech Republic República Checa
Policie
Denmark Dinamarca
Politi		 United Kingdom Inglaterra
Action Fraud		 Estonia Estónia
Politsei
Finland Finlândia
Poliisi		 France França
Ministère de l'Intérieur		 Germany Alemanha
Polizei
Greece Grécia
Hellenic Police		 Hong Kong Hong Kong
Hong Kong Police		 Hungary Hungria
Rendőrség
India Índia
Cyber Crime Cell		 Iran Irão
Cyber Police		 Ireland Irlanda
Garda Síochána
Israel Israel
Nomoreransom project		 Italy Itália
Polizia di Stato		 Japan Japão
Cybercrime Project
Latvia Letónia
Policija		 Lithuania Lituânia
ePolicija		 Luxembourg Luxemburgo
Police
Malta Malta
Pulizija		 Netherlands Holanda
Politie		 New Zealand Nova Zelândia
Police
Russia Rússia
Ministry of Internal Affairs		 Scotland Escócia
Police Scotland		 Singapore Singapura
Singapore Police Force
Slovakia Eslováquia
Ministerstvo Vnútra		 Slovenia Eslovénia
Policija		 South Korea Coreia do Sur
National Police Agency
Spain Espanha
Policía Nacional		 Sweden Suécia
Polisen		 Ukraine Ucrânia
Cyber Police
United States Estados Unidos
IC3		    
Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Guia de Remoção de novos vírus
Remoção de Víirus e programas maliciosos

Esta página fornece informações sobre como evitar infeções por malware ou vírus.

Remoção de Víirus

Guias de Remoção dos Vírus principais