No cenário atual da cibersegurança, onde a luta contra o crime cibernético parece estar em uma constante batalha de gato e rato, a indústria de ransomware se destaca como um dos mais lucrativos setores do crime. Apesar das recentes vitórias das autoridades contra grupos de ransomware, como a desarticulação da LockBit e a apreensão de ativos pertencentes a criminosos, o que se observa é um crescimento contínuo na lucratividade dessa prática. Segundo Allan Liska, especialista em ransomware e analista de inteligência de ameaças na empresa de cibersegurança Recorded Future, 2024 está posicionado para se tornar o ano mais rentável até agora para os hackers que realizam esses ataques de roubo de dados. Durante uma entrevista recente ao TechCrunch em Londres, Liska reafirmou que as expectativas para o ano que se inicia são de recordes tanto nos ataques quanto nos valores pagos como resgates por parte das vítimas.
“A curva vai se estabilizar um pouco, o que, de certo modo, é uma boa notícia. Mas ainda assim, um ano de recorde é um ano de recorde”, destacou Liska. Em 2023, pela primeira vez, foram registrados pagamentos de resgates com quatro dígitos de milhões de dólares, entre eles, o impressionante pagamento de US$ 22 milhões feito pela Change Healthcare ao grupo cibercriminoso russo ALPHV. Este pagamento ocorreu após o roubo de dados médicos altamente sensíveis que afetaram milhões de americanos. O que se seguiu a esse grotesco ato de extorsão foi uma série de desavenças internas entre o grupo de ransomware e seus afiliados que executaram o ataque em nome da ALPHV. “Se você quisesse um reality show, este seria ele”, comentou Liska, aludindo ao caos que se instalou entre esses grupos criminosos.
Este ambiente caótico é apenas um prenúncio do que está por vir, especialmente com a entrada de personagens mais jovens e motivados financeiramente no cenário do ransomware. Grupos como Lapsus$ e, mais recentemente, Scattered Spider, têm demonstrado habilidades excepcionais, sendo responsáveis por algumas das ciberataques mais destrutivos da história, como a violação de dados da MGM Hotels e as suspeitas de envolvimento no recente ataque cibernético ao Transport for London. A natureza descentralizada e fragmentada desses atacantes é evidenciada pelo aumento acentuado dos ataques focados unicamente no furto de dados, que cresceu mais de 30% em 2024. “Isso representa um aumento significativo em comparação a alguns anos atrás”, disse Liska, apelando para a crescente tendência entre os novos atores que preferem evitar a complicação de processos de criptografia e descriptografia, optando por ataques que simplesmente exfiltram grandes volumes de dados roubados.
Enquanto a persistência desses hackers adolescentes tem levado a um aumento nos ataques de extorsão sem roubo de dados, isso pode ser apenas a ponta do iceberg. Liska também alertou que esses jovens criminosos poderiam optar por ignorar o roubo de dados completamente e decidir roubar dinheiro diretamente de bolsas de criptomoeda, o que representaria um novo patamar de risco no mundo do crime digital. Além disso, ele mencionou que a luta contra ransomware pode transbordar para a violência no mundo real, citando táticas de extorsão escalatórias utilizadas por grupos como o Scattered Spider, que utilizam informações verídicas sobre suas vítimas caso estas se recusem a pagar o resgate exigido.
A possibilidade de que as próximas eleições nos Estados Unidos influenciem o futuro do ransomware é um aspecto que não pode ser ignorado. A administração Biden, ao estabelecer o Global Ransomware Task Force, promoveu um modelo de compartilhamento de informações que tem se mostrado benéfico na guerra contra os hackers. No entanto, Liska alertou que esse compartilhamento pode cessar se uma futura administração Trump optar por uma política de desregulamentação em larga escala. “Há uma boa chance de que isso desapareça e possamos ver uma aceleração ainda maior de ataques de ransomware se a aplicação da lei tiver menos capacidade de agir”, enfatizou. Ele acrescentou que, sob a administração anterior de Trump, observou-se a ocorrência de ataques como WannaCry e NotPetya, sem resposta imediata do governo.
Diante desse panorama desolador, surge a pergunta: qual seria a solução? Liska, em seu discurso no TechCrunch Disrupt 2023, afirmou que proibir os pagamentos de resgates não é a resposta ideal, mas, ironicamente, poderia ser a única solução viável. “Tivemos mais de 20 ações de aplicação da lei neste ano contra ransomware, e isso é fantástico. Mas se continuarmos alimentando pagamentos de resgates astronômicos a esses atacantes, isso altera o modelo de incentivos. Você pode ser preso, mas, por outro lado, pode receber um pagamento de resgate de oito dígitos, o que se torna uma tentação difícil de resistir.” Ele concluiu: “A minha resposta é: proibir pagamentos de resgates, o que é uma solução terrível, mas pode ser a solução menos ruim que temos.”