No que diz respeito ao pagamento de resgates de ransomware, a resposta à pergunta no título é, talvez, que sim. Afinal, os pagamentos de ransomware têm na verdade implicações muito mais profundas do que se pensa. E afetam mais do que as empresas que são alvo dos ataques. Ou seja, não é só para as empresas que cedem às exigências dos atacantes que existem consequências.
Imagine-se por um momento que vai a uma loja comprar algo por 100 euros. Em função de onde se está no mundo, pode ser acrescentado o IVA no ato de pagamento. Isto é, o recibo irá mostrar 100 euros pelos bens e mais, por exemplo, 10 euros de imposto, para um total de 110 euros. A empresa que vende o produto tem que lucrar com a transação e cobrir os seus gastos. Isto inclui empregados, instalações, seguro, transporte… e muitos outros custos associados a gerir um negócio.
Taxa do cibercrime?
Nesse sentido, se a empresa for vítima de um ataque de ransomware e decidir pagar aos cibercriminosos isto é um custo para o negócio. Um custo que precisa de ser coberto pela venda de produtos ou serviços aos clientes. O que é que os clientes achariam se o recibo tivesse que revelar a parcela da empresa para financiar o cibercrime – produtos 100 euros, imposto 10 euros, donativo a cibercriminosos 2,50 euros? A ESET suspeita que a grande maioria iria questionar a taxa e reclamar.
Muitas empresas respondem a este problema com “não faz mal, o nosso seguro de ciber-risco paga a maior parte dos resgates”. Isto pode ser o caso. Mas mesmo assim as empresas têm que pagar às companhias de seguro. No final, o dinheiro para pagar o resgate acaba sempre por ter impacto no cliente final.
Bair ou não os pagamentos de ransomware: eis a questão
Bryan Vorndran, o diretor-assistente da ciberdivisão do FBI, respondeu a uma questão da senadora americana Mazie Hirono, “na nossa opinião, banir pagamentos de ransomware não é o caminho a seguir”. Em outras palavras, isto deve-se ao facto de banir estes pagamentos poder resultar em extorsão adicional sob a forma das empresas não divulgarem incidentes às autoridades.
Esta conclusão pode ser vista como incompatível com a proibição de pagamento de fundos a cibercriminosos que aparecem na lista de sanções da OFAC. Como alguns grupos de ransomware ou indivíduos por detrás deles estão na lista, então é possível que empresas que paguem resgastes a estes grupos ou indivíduos fiquem expostos a mais extorsões por tentarem esconder o pagamento.
Ceder a cibercriminosos = mais cibercrime
Existem muitas questões, mas duas coisas são certas: primeiro, o debate sobre pagar ou não resgates de ransomware ainda não está perto de ser resolvido. E, segundo, os consumidores irão pagar mais por produtos e serviços para as empresas continuarem a pagar aos criminosos por detrás de ransomware, de forma direta ou indireta. Assim, no que toca à ESET, a nossa opinião é que ceder aos terroristas leva a mais terrorismo.
Proteção e boas práticas = menos riscos
Por fim, é crucial também as empresas protegerem-se contra estes ataques. O risco de ataque por ransomware é apenas uma das várias razões pelas quais as empresas se devem concentrar em formar os seus funcionários sobre onde não devem clicar. E o que fazer se já tiverem feito algo que possa ser um risco em termos de segurança. Ou seja, as medidas que ajudam para a segurança em geral devem ter várias camadas para uma proteção de sucesso.
Proteger os endpoints contra ransomware e ataques de zero day já é possível com uma consola baseada na cloud. Para saber mais informações, leia tudo sobre a solução ESET Protect Advanced.
