Em novembro de 2021, o Departamento do Tesouro dos EUA anunciou uma parceria com Israel para combater o ransomware. À medida que os atacantes de ransomware constroem organizações globais cada vez mais colaborativas, é encorajador ver seus defensores colaborando além das fronteiras também. O volume de ataques de ransomware, particularmente em infra-estruturas críticas, aumentou a atenção do governo e a supervisão do sector. Embora os esforços coordenados de aplicação da lei tenham sufocado os grupos de ransomware a curto prazo, não há razão para acreditar que o ransomware vá desaparecer tão cedo.
O ransomware surgiu como uma das maiores ameaças à cibersegurança durante os últimos anos. De acordo com a Força-Tarefa de Ransomware, houve pelo menos 2.400 ataques de ransomware em 2020 e as vítimas de ransomware pagaram US $ 350 milhões - um aumento de 311% em relação ao ano anterior. Será interessante observar como essas estatísticas são modificadas quando 2021 chegar ao fim, considerando quantos ataques de ransomware de alto perfil ocorreram no ano passado.
Por exemplo, o ataque de ransomware à Colonial Pipeline foi, sem dúvida, o ataque de ransomware mais mediático do ano passado, uma vez que causou uma interrupção de serviço de uma semana à empresa de energia, para além de um resgate de quase 5 milhões de dólares. O ataque foi conduzido pela DarkSide, um grupo de ransomware que afirmou: "Somos apolíticos, não participamos na geopolítica, não precisa de nos ligar a um governo definido e procurar os nossos motivos".
Os grupos de ransomware, como o DarkSide, evoluíram nos últimos anos para se tornarem mais organizados nas suas operações e mais direccionados nos seus ataques (a chamada "caça grossa" para pagamentos financeiros mais elevados). Na "dark net", existe uma próspera rede criminosa clandestina de parceiros pouco afiliados, cada um com as suas próprias funções e responsabilidades.
Os corretores de acesso inicial especializam-se no roubo de credenciais de acesso, que vendem a outros criminosos. Quando a vítima é comprometida, muitos grupos de ransomware oferecem uma equipa de apoio que negoceia o resgate ou fornece instruções sobre como efetuar o pagamento. O ransomware-as-a-service (RaaS) tornou os ataques de ransomware mais fáceis para os criminosos que não têm conhecimentos técnicos, um espelho negro para as soluções de cibersegurança destinadas a impedi-los. A questão é que os atacantes de ransomware estão a operar como organizações internacionais que colaboram com criminosos de todo o mundo.
Uma resposta internacional
Após o ataque ao Colonial Pipeline, a Administração Biden emitiu uma Ordem Executiva sobre a Melhoria da Cibersegurança da Nação, que apelava ao sector privado para estabelecer parcerias com o Governo Federal para promover a melhoria da cibersegurança. Um mês mais tarde, em junho de 2021, o Departamento de Justiça recuperou 2,3 milhões de dólares da DarkSide, ao controlar os seus pagamentos. A DarkSide desmoronou sob a pressão e anunciou que encerraria as operações, levando muitos pesquisadores de segurança a acreditar que houve uma derrubada coordenada de sua infraestrutura.
A Ordem Executiva do Presidente Biden preparou o terreno para uma série de anúncios de cibersegurança em 2021, incluindo um Memorando de Segurança Nacional sobre a Melhoria da Cibersegurança para Sistemas de Controlo de Infraestruturas Críticas, bem como o desenvolvimento de um Modelo de Maturidade Zero Trust. O governo está pedindo uma maior colaboração, mas de acordo com um alto funcionário da Casa Branca, "O que queremos dizer é. O governo federal não pode fazer isso sozinho: O governo federal não pode fazer isso sozinho.Proteger a nossa infraestrutura crítica requer um esforço de toda a nação e a indústria tem de fazer a sua parte".
Para além das parcerias público-privadas, o governo está também a colaborar com os seus países aliados. A recém-anunciada parceria do Departamento do Tesouro dos EUA com Israel para combater o ransomware é benéfica para ambos os países, uma vez que o ransomware e os ciberataques não têm fronteiras.
Algumas das soluções de cibersegurança mais avançadas da comunidade internacional estão presentes tanto em Israel como nos Estados Unidos. Uma das razões pelas quais Israel produz tantas soluções de cibersegurança é o facto de o serviço militar nacional ser obrigatório para todos os seus cidadãos; as metodologias de cibersegurança ofensiva e defensiva das Forças de Defesa de Israel levaram à criação de muitas tecnologias inovadoras. Por conseguinte, esta nova parceria deverá permitir um intercâmbio bilateral das melhores práticas e das tecnologias de ponta.
Além disso, a Direção Nacional de Cibernética de Israel lançou recentemente uma Doutrina de Ciberdefesa renovada. Esta doutrina baseia-se num quadro de segurança comum (CSF) do Instituto Nacional de Normas e Tecnologia dos EUA (NIST). Isto significa que o momento da parceria entre os Estados Unidos e Israel é ideal para permitir uma troca de informações, com base nos controlos de cibersegurança actualizados de Israel, que incluem recomendações específicas para combater o ransomware.
Com o aumento da frequência dos ataques de ransomware e a escalada de ataques a infra-estruturas críticas, este grupo de trabalho conjunto está encarregado de prevenir ataques de ransomware antes que ocorram danos que não possam ser desfeitos. Com o recente sucesso em encerrar, pelo menos temporariamente, o REvil, o BlackMatter e o DarkSide, é de esperar que os grupos regressem com uma vingança renovada e que surjam novos grupos para preencher o seu vazio, incluindo poderosos actores de ameaças apoiados por Estados-nação.
Considerando o aspeto de Estado-nação dos ataques de ransomware, esta força-tarefa conjunta também tem o potencial de interromper o financiamento de organizações terroristas internacionais e outras entidades hostis. Já existem muitos programas internacionais de partilha de informações, pelo que esta nova task force representa uma oportunidade para os defensores "mudarem para a esquerda", eliminando o ransomware como fonte de financiamento do terrorismo e de outros regimes opressivos.
Na cibersegurança, não existe uma "bala de prata" que possa proteger as organizações, e é por isso que a colaboração é tão importante. Incentivar a colaboração entre a indústria e o governo em todo o mundo permite maiores sinergias para que essas organizações tenham as melhores contramedidas para proteger suas operações. À medida que os atacantes de ransomware continuam a avançar nas suas operações, é imperativo que as indústrias críticas também avancem na sua proteção. Como os atacantes de ransomware continuam a avançar com as suas operações, as indústrias críticas devem avançar também com a sua proteção.
