Dicas sobre como negociar em caso de extorsão digital

Já pensou em como lidar com um ataque ransomware, caso sua empresa seja vítima desse tipo de cibercrime e vier a sofrer extorsão? Infelizmente, esse tipo de crime digital tem-se tornado cada vez mais comum em todas as regiões do mundo e sem distinção de porte da empresa ou setor de atividade. 

Muito das análises feitas sobre as atividade de ransomware se concentra principalmente na perspectiva técnica e em como se proteger tecnologicamente, porém sem abordar necessariamente as estratégias de negociação diante da extorsão digital. Um artigo do NCC Group buscou abordar três outras perspectivas: como são os modelos econômicos usados pelos invasores para maximizar os lucros; como as vítimas se posicionam durante a fase de negociação; e quais estratégias podem ser adotadas para equilibrar o jogo?  

A pesquisa revelou que os cibercriminosos têm uma vantagem significativa na negociação – geralmente, sabem quanto a vítima poderá pagar ao final do processo. Foram estudadas mais de 700 negociações entre invasores e vítimas entre 2019 e 2020 usando métodos quantitativos e qualitativos.  Com base nesses exemplos e conversas reais entre gangues de ransomware e suas vítimas e principalmente em abordagens empíricas do NCC Group, o artigo propõe recomendações que podem ajudar as vítimas a chegar em um desfecho mais favorável – ou com menos prejuízos.  Se a decisão de pagar o resgate for tomada, ainda há maneiras de diminuir os danos. É preciso atentar  que usar apenas uma dessas estratégias de negociação não ajudará muito; é preciso seguir a maior parte delas. 

1. Ser respeitoso –  Veja a crise do ransomware como uma transação de negócios. Contrate ajuda externa, se necessário, mas seja respeitoso como em uma conduta profissional. O estudo revelou que existe uma relação entre ser gentil e o valor do resgate pago ao final.  

2. Não recear em pedir mais tempo – Ainda que o cibercriminoso tente pressionar a vítima a tomar decisões rápidas, geralmente aceitará ampliar o prazo das negociações. Isso pode ser útil para que a vítima possa avaliar melhor a situação e eventualmente chegar à conclusão de que conseguirá recuperar os dados por conta própria. Da mesma forma, pode ganhar tempo extra para elaborar estratégias de defesa ou, ao contrário, para pagar o resgate.  

3. Prometer pagar uma pequena quantia imediatamente – Se quiser evitar que os dados vazem durante a reconstrução dos sistemas, uma boa estratégia é tentar a negociar una quantia menor para encerrar a negociação. Em vários casos, o estudo identificou grandes descontos quando se apresentou essa opção. 

4. Convencer a gangue de que não pode pagar um resgate alto – Uma das estratégias mais eficazes é convencer o adversário de que a atual posição financeira não lhe permite pagar o valor solicitado.  

5. Se possível, não divulgar a existência de um ciberseguro – Para ocultar essa informação, a vítima não pode ter guardado documentos do seguro em nenhum servidor acessível.  

6. Estabelecer um canal de comunicação diferente com o adversário – Em vários casos avaliados pelo estudo, o chat usado para trocar mensagens foi infiltrado por terceiros que passaram a interferir e atrapalhar a negociação. É preciso tomar cuidado. 

7. Solicitar que alguns arquivos sejam descriptografados como teste – Essa é uma medida para se assegurar de que, depois do pagamento do resgate, os arquivos serão realmente recuperados. Além disso, certifique-se de pedir um comprovante de exclusão dos arquivos.  

8. Preparar-se para situações em que os arquivos vazarão ou serão vendidos de qualquer forma – Apesar da eventual garantia dos cibercriminosos, poderá haver vazamento ou venda dos dados e podem ter passado por muitas mãos diferentes.  

Maximizando os lucros 

Nos primeiros anos do ransomware, os grupos costumavam usar uma estratégia uniforme de preços, ou seja, um preço fixo após a invasão. Foi o caso do CryptoLocker, cujo resgate era baseado no pagamento de 400 dólares ou euros por vítima. No entanto, esse sistema evoluiu e hoje existem basicamente três categorias de precificação: personalizada, quando o resgate é cobrado com base na disposição e capacidade de pagamento; com descontos a granel; e a que usa características pessoais ou empresariais das vítimas. 

O artigo exemplifica o segundo tipo de precificação com o caso de um grupo chinês de cibercriminosos  que pediu um valor inicial relativamente alto para descriptografar os dados de menos de 10 computadores. A quantia caiu vertiginosamente depois que um grande número de sistema de descriptografia foi vendido.  

O estudo do NCC Group reconhece que há limitações na avaliação. Não se pode afirmar com certeza que o conjunto de vítimas identificadas é representativo de toda a população. Além disso, os grupos de ransomware usam outros fatores para determinar o valor dos resgates, como número de computadores e servidores criptografados, número de funcionários ou exposição esperada na mídia. Fatores como esses são mais difíceis de comparar. 

Apesar dessas limitações, a pesquisa sugere que os cibercriminosos estão otimizando os lucros por tentativa e erro. Têm como vantagem o fato de a vítima, em geral, ser inexperiente nesse tipo de negociação, enquanto eles já são profissionais e podem decidir a melhor estratégia com mais facilidade. Além disso, podem bisbilhotar os dados roubados das vítimas, como se, em um jogo de cartas,  o adversário pudesse ver as cartas do oponente. Ou seja, se o adversário jogar bem, sempre vencerá. É por isso que os crimes de ransomware crescem a uma velocidade galopante.