Uma pesquisa descobriu que muitas empresas da Nova Zelândia têm ou estão dispostas a pagar um resgate cibernético. Foto / Getty Images
Novas pesquisas mostram que muitas empresas da Nova Zelândia estariam dispostas a pagar um resgate para recuperar dados que foram roubados ou criptografados por hackers.
Um estudo global de 2.700 executivos de negócios em todo o mundo, encomendado pela French
multinacional Thales, descobriu que um terço das empresas em sua amostra da Nova Zelândia havia pago, ou estava disposta a pagar, um resgate cibernético.
A pandemia criou um aumento no ransomware, à medida que os hackers exploram as lacunas de segurança que surgiram por meio do trabalho híbrido e um ambiente em que as empresas – e os hospitais – precisavam de seus sistemas online mais do que nunca. Os alvos incluíam o Waikato DHB para empresas como Lion, Toll e Fisher & Paykel Appliances – todos os quais se recusaram a se envolver com seus agressores e sofreram interrupções significativas.
No início desta semana, a Equipe de Resposta a Emergências de Computadores do Governo (Cert NZ) disse em seu relatório do primeiro trimestre que os ataques de ransomware aumentaram 31% em comparação com o primeiro trimestre do ano passado. Isso equivale a 17 ataques, embora o diretor da Cert NZ, Rob Pope, também tenha dito que os relatórios para sua agência são apenas a “ponta do iceberg” do crime.
“Criminalizando a vítima”
No ano passado, enquanto o Waikato Hospital lutava por semanas para restaurar seus sistemas, houve pedidos para que fosse considerado uma ofensa pagar um resgate cibernético.
O então ministro da Justiça Kris Faafoi rejeitou a ideia.
“Embora o governo entenda que fazer pagamentos pode ser percebido como encorajador de novos ataques, criminalizar a vítima de uma demanda de ransomware levanta questões de justiça sobre tornar uma vítima um criminoso se eles estiverem tentando proteger seus negócios e meios de subsistência – e, possivelmente, infraestrutura essencial. – fazendo tal pagamento”, disse Faafoi.
O diretor de segurança em nuvem da Thales Austrália-Nova Zelândia, Brian Grant, diz que há outras ferramentas à disposição do nosso governo, mesmo que não esteja disposto a proibir pagamentos de resgate.
Um deles estava tornando obrigatório divulgar qualquer pagamento a hackers de ransomware.
Atualmente, a Nova Zelândia – sob a atualização da Lei de Privacidade que entrou em vigor em dezembro de 2020 – tem uma exigência legal de divulgação obrigatória de uma violação de dados, mas nenhuma disposição semelhante para confessar que você fez um pagamento de resgate cibernético.
Do outro lado da Tasmânia, o Projeto de Lei de Pagamentos de Ransomware está lentamente passando pelo Parlamento. Ele exige que qualquer pagamento de ransomware seja relatado ao Australian Cyber Security Centre. Não há legislação equivalente em andamento aqui.
Aqueles que tossiram
Em outros lugares, a situação é irregular. Nos EUA, onde o Congresso e vários estados estão considerando projetos de lei que tornariam ilegal o pagamento de um resgate cibernético, ou obrigatório divulgar um pagamento, a Colonial Pipeline pagou hackers para liberar os sistemas que controlam seu gasoduto de combustível e fazer o “gás” fluir novamente a milhares de estações de serviço na costa leste. A empresa não divulgou um valor, mas o New York Times informou que era “aproximadamente US$ 5 milhões” (NZ$ 7,65 milhões).
Depois que a Garmin, listada na Nasdaq, foi atingida por ransomware em 2020, várias publicações dos EUA relataram que o fabricante de rastreadores de fitness, além de sistemas de navegação para aeronaves, pagou um resgate de US$ 10 milhões (a empresa não comentou).
Em 2020, outra empresa listada na Nasdaq, a empresa de gerenciamento de doadores Blackbaud, divulgou que pagou para recuperar dados de clientes, incluindo a Universidade de Auckland e a Universidade de Otago, que usam o serviço para dados de ex-alunos.
“Como proteger os dados de nossos clientes é nossa principal prioridade, pagamos a demanda do cibercriminoso com a confirmação de que a cópia que eles removeram foi destruída”, disse a Blackbaud em comunicado (a Universidade de Auckland e a Universidade de Otago disseram, como outros clientes da Blackbaud, que estavam não é parte na decisão.)
E depois que a TravelEx foi atingida por um ataque de ransomware no início de 2020, inicialmente parecia que a empresa de câmbio com sede em Londres iria cerrar os dentes e passar pela dor de restaurar seus sistemas em vez de pagar uma demanda de US$ 6 milhões. Mas o Wall Street Journal relatou mais tarde que, diante da percepção de que seus sistemas de pagamento poderiam ser interrompidos por semanas, a TravelEx acabou pagando US$ 2,3 milhões (a TravelEx se recusou a comentar se pagou um resgate. , emissor do cartão OneSmart da Air New Zealand, um cartão de crédito que pode ser pré-carregado com até oito moedas estrangeiras. A companhia aérea disse que nenhum dos dados de seus clientes foi colocado em risco. ).
Polícia: Não pague
A polícia da Nova Zelândia e a agência de crimes cibernéticos Cert NZ recomendam que aqueles atingidos por ransomware não paguem.
Pagar incentivos e fundos ainda mais ofensivos.
Os dados podem não ser descriptografados ou devolvidos como prometido, e os lucros geralmente vão para gangues criminosas, ajudando a sustentar operações em outras áreas, como tráfico de drogas e humanos.
As cópias de dados podem não ser destruídas, mas usadas para chantagem, e os dados retornados podem ser armadilhados para permitir acesso futuro à rede de uma organização, diz a Cert NZ.
O caso de pagamento
No entanto, na época do pagamento do resgate de Blackbaud, o advogado e especialista cibernético de Wellington Michael Wigley disse ao Herald que “é uma decisão difícil e de dois gumes pagar o resgate – mas posso entender por que eles decidiram pagar”.
Em alguns casos, você pode até argumentar que havia um dever legal de proteger os dados dos clientes, disse Wigley.
Da mesma forma, um conselho do Instituto de Diretores da Nova Zelândia sobre “O Dilema do Ransomware” observa os argumentos usuais contra o pagamento de um resgate, mas também oferece dois argumentos para desembolsar o dinheiro (ou, mais provavelmente, o bitcoin).
“Os ataques cibernéticos devem ser considerados um risco comercial. Como tal, algumas empresas podem estar preparadas para pagar o resgate como um custo comercial. As organizações que não carregam dados de clientes ou podem verificar que nenhum dado importante foi roubado pode determinar que é mais barato pagar o resgate do que restaurar seus sistemas a partir de backups”, diz.
“Outras organizações podem tomar a decisão – com base em uma avaliação de risco – de pagar o resgate para retomar as operações normais de negócios o mais rápido possível. dos backups terá sido determinado como tendo um impacto negativo maior do que simplesmente pagar o resgate.”
Na época do ataque à Blackbaud, Wigley disse que a evidência anedótica era que muitos operadores de ransomware, de fato, liberavam dados após o pagamento. Afinal, eles tinham uma espécie de regulamento para defender.
Esta semana, Grant disse ao Herald que muitas gangues de ransomware realizaram operações habilidosas.
“Eles até têm números de help desk”, disse ele.
Os reguladores podem intervir – para envergonhar ou multar
A pesquisa da Thales descobriu que metade dos entrevistados da Nova Zelândia não tinha plano de ransomware.
Grant observa que, além de danos à marca e interrupção dos negócios, você também pode entrar em problemas regulatórios.
Depois que a empresa de planejamento financeiro RI Advice sofreu um ataque de ransomware e foi novamente atingida por hackers depois de não atualizar suas defesas, a Comissão Australiana de Valores Mobiliários e Investimentos (ASIC) a levou ao Tribunal Federal em 2020, alegando que havia violado suas obrigações como um licenciado de serviços financeiros.
Em uma decisão divulgada no início deste mês, o tribunal ordenou que o RI desembolsasse mais de A$ 750.000 e instruiu a contratar um especialista externo em segurança cibernética para revisar seus sistemas.
Uma mudança na lei de 2019 significou que a ASIC pode buscar um negócio que viole suas obrigações de licenciado financeiro por penalidades civis de até A$ 11 milhões ou até 10% de seu faturamento (até um limite de A$ 555 milhões).
Nosso equivalente à ASIC – a Financial Markets Authority – não pode aplicar uma penalidade financeira a uma empresa se sua segurança cibernética não for adequada. Mas a agência pode ordenar que uma das empresas reguladas tome medidas corretivas para melhorar suas defesas cibernéticas, e pode haver uma grande penalidade financeira se essa ordem não for cumprida.
“Se a FMA emitiu uma ordem de direção por violação de uma condição de licença relacionada à segurança cibernética e a ordem de direção não foi cumprida, a penalidade máxima seria de US$ 600.000 ou US$ 200.000 para um indivíduo”, disse um porta-voz da FMA.
“As partes fariam alegações sobre uma penalidade apropriada e os casos dependem de uma ampla gama de fatores, que em última análise cabe ao tribunal determinar”.
Após o ataque DDoS ao NZX em 2020, a FMA exigiu que a exchange desenvolvesse um plano de ação formal para resolver problemas de segurança pelo regulador, que incluiu subinvestimento em segurança cibernética e planejamento inadequado de crises.
Um relatório da FMA foi contundente, mas os eventos permaneceram em um nível construtivo, com o regulador dizendo que estava satisfeito com a resposta da bolsa.
Em outro caso, o Reserve Bank se tornou a primeira organização a ser atingida por um Aviso de Conformidade do Escritório do Comissário de Privacidade. A sanção de setembro de 2021 veio depois que o watchdog descobriu que o RBNZ não tomou medidas razoáveis para se proteger contra a divulgação de informações pessoais, pois dependia de uma ferramenta de terceiros desatualizada para compartilhar arquivos.
A preparação inadequada do NZX para um ataque cibernético e suas consequências o colocaram no mesmo barco que cerca de metade das empresas Kiwi incluídas na pesquisa da Thales.
Grant diz que um problema relacionado é que a maioria não sabe onde estão todos os dados, um problema agravado por smartphones e outros dispositivos BYO e contas privadas e de trabalho sendo misturadas aleatoriamente na nuvem.
“À medida que a ameaça de ataques cibernéticos continua a crescer, a realidade é que o treinamento de conscientização cibernética, o pagamento de resgates e outras abordagens desatualizadas não estão mitigando o risco entre as organizações dependentes de dados”, diz Grant.
“A rotatividade de funcionários e habilidades inconsistentes, combinadas com engenharia social avançada por invasores, tornam a conscientização cibernética ineficaz, enquanto o pagamento de um resgate apenas promove mais comportamentos criminosos”.
É encorajador que muitas empresas tenham aumentado os orçamentos de segurança e elaborado planos de resposta a incidentes cibernéticos, “mas uma preocupante falta de segurança de dados eficaz continua a deixar brechas para os criminosos explorarem”, diz ele.
Destaques do Relatório de Ameaças de Dados de 2022 da Thales
• Apenas metade das empresas da Nova Zelândia (51%) tem um plano formal de ransomware e uma em cada quatro (40%) adicionou orçamento adicional para ferramentas de ransomware.
• Nove em cada 10 (89%) líderes de TI admitem que não têm conhecimento completo de onde seus dados estão armazenados.
• As violações de dados continuam altas na Nova Zelândia – 25% das empresas sofreram uma violação nos últimos 12 meses e 100% dos ataques afetaram operações internas e/ou externas.
• A grande maioria (72%) das empresas continua preocupada com os riscos de segurança de uma força de trabalho cada vez mais remota.
• Mais da metade (55%) das empresas espera gastar orçamentos de segurança futuros em tecnologias de confiança zero e logon único na nuvem como prioridade, seguida por dados em trânsito (40%).
De uma pesquisa com 2.700 executivos, em 17 países, incluindo a Nova Zelândia, realizada pela 451 Research em janeiro de 2022. A maioria dos entrevistados estava em organizações com 500 a 10.000 funcionários.
Como o crash das criptomoedas está afetando o comportamento dos hackers
O valor do bitcoin caiu pela metade desde novembro, com o valor de um bitcoin para o dólar americano caindo de mais de US$ 64.000 para menos de US$ 30.000.
Grant diz que o acidente alimentou a inflação dos hackers. Uma gangue de ransomware que costumava exigir 100 bitcoins de um alvo corporativo agora buscará 300.
Discussão sobre isso post