Altos funcionários novamente recuam na proibição de pagamento de resgate

A Força-Tarefa de Ransomware do Instituto de Segurança e Tecnologia jogou água fria sobre a necessidade de uma proibição de pagamento de ransomware em um relatório divulgado na quarta-feira .

O Instituto de Segurança e Tecnologia, sem fins lucrativos, rejeita a viabilidade de uma proibição de pagamento de resgate por vários motivos, incluindo: 

• Preocupações sobre o impacto da proibição nas denúncias de pagamento de resgate pelas vítimas. 
• O potencial para gerar mais pagamentos clandestinos. 
• E as consequências não intencionais e os aspectos práticos das isenções para infra-estruturas críticas.

Em vez de uma proibição, o RTF detalhou 16 marcos que afirma serem “ a abordagem mais razoável e eficaz para reduzir os pagamentos”. 

“Embora uma proibição possa ser um levantamento político mais fácil do que atividades destinadas a impulsionar a preparação, é quase certo que criará o tipo errado de impacto”, disseram os copresidentes da RTF por e-mail. “O número de organizações que efetuam pagamentos está a diminuir, o que sugere que estamos no caminho certo.”

A maioria das recomendações do RTF já está em vigor, em desenvolvimento ou, pelo menos parcialmente, em andamento. Todas as propostas, exceto uma, foram originalmente compartilhadas em um relatório que o grupo divulgou em setembro de 2021 .

Das 16 propostas da RTF, mais de metade já estão concluídas ou em obras

“Infelizmente, a maioria das organizações ainda tem pouca resiliência cibernética e estão lamentavelmente despreparadas para ataques cibernéticos como ransomware”, disseram os copresidentes da RTF por e-mail. “Implementar uma proibição de pagamentos de resgate não mudará isso e não representará um desligamento instantâneo para os invasores. Eles continuarão a lançar ataques sabendo que as organizações não possuem defesas ou mitigações suficientes.”

Dois dos principais esforços que a RTF está a pedir foram concluídos ou avançados nos últimos dois anos. As empresas de capital aberto devem agora relatar incidentes cibernéticos materiais e divulgar estratégias de governança cibernética e gestão de risco à Comissão de Valores Mobiliários.

A regra proposta pela Agência de Segurança Cibernética e de Infraestrutura para a Lei de Relatórios de Incidentes Cibernéticos para Infraestruturas Críticas de 2022 obrigará mais de 316.000 proprietários, operadores e fornecedores de infraestruturas críticas dos EUA a divulgar rapidamente ataques cibernéticos e pagamentos de resgate. Essa regra entrará em vigor dentro de 18 meses.

As organizações já estão proibidas de efetuar pagamentos de resgate a indivíduos ou entidades sancionadas pelo Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA .

Propostas de proibição vacilam em debates políticos

Os debates e discussões sobre políticas destinadas a reduzir a atividade de ransomware mudaram nos últimos 18 meses, à medida que surgem amplas evidências de que os esforços atuais para dissuadir o ransomware não estão funcionando.

As vítimas de ransomware nos EUA pagaram US$ 1,5 bilhão em resgates entre maio de 2022 e junho de 2023, disse um alto funcionário do governo em novembro. Quase 5.200 organizações foram atingidas por ataques de ransomware em 2023 , de acordo com Rapid7.

A administração Biden decidiu contra a proibição total do pagamento de resgates em Setembro de 2022, mas os funcionários da Casa Branca reviveram a potencial mudança política em meados de 2023 através da Iniciativa Internacional Contra Ransomware.

As disputas sobre o melhor caminho a seguir continuam.

Brett Callow, analista de ameaças da Emsisoft, que iniciou o ano pedindo a proibição total de pagamentos de resgate, continua sendo um forte defensor da medida.

A RTF afirma que os ataques de ransomware não diminuíram em estados, como Flórida e Carolina do Norte, que introduziram anteriormente tais proibições, mas Callow discorda desse argumento porque seu escopo é limitado.

“As proibições a nível estatal não reduzem necessariamente o número de ataques. Os cibercriminosos baseados na Rússia podem muito bem não perceber que um estado tem uma proibição, ou mesmo que uma organização está nesse estado. No entanto, isso não significa que as proibições sejam inúteis”, disse Callow por e-mail.

“Embora os invasores possam não estar cientes das proibições em nível estadual – e, portanto, não cessam os ataques – eles certamente estariam cientes de uma proibição em nível federal que se aplicasse nacionalmente”, disse Callow.

Em vez de introduzir uma proibição estrita de pagamentos de extorsão às organizações atingidas por ataques de ransomware, a RTF apela à resolução e ao compromisso de redobrar os esforços já em curso.

O grupo é liderado por oito copresidentes, incluindo ex-autoridades cibernéticas, como Kemba Walden , que atuou como diretor cibernético nacional interino durante a maior parte de 2023 e agora é presidente do Paladin Global Institute.