Recentemente, o Superior Tribunal de Justiça (STJ) foi alvo de um ransomware, um software malicioso que restringe o acesso ao sistema infectado e exige um resgate para restabelecê-lo. Infelizmente, esse é um ataque cada vez mais comum que ameaça governos, empresas e indivíduos. Somente no ano passado, estima-se que houve 184 milhões de ataques usando ransomware. Esses ataques estão cada vez mais sofisticados e com mais recursos para espalhar, evadir a detecção, criptografar arquivos e coagir os usuários a pagarem resgates.

Poucos dias antes do ataque ao STJ, o Departamento de Tesouro dos Estados Unidos emitiu um comunicado informando que as instituições que facilitarem o pagamento de ransomware podem estar potencialmente sujeitas a sofrer sanções da OFAC. O órgão americano entendeu que fazer o pagamento é uma forma financiamento do terrorismo em violação às regulações do Office of Foreign Assets Control (OFAC). 

Esses pedidos de resgate aumentaram muito durante a pandemia da COVID-19. De acordo com o comunicado, os criminosos visam sistemas online utilizados para a condução de negócios. Segundo o governo estadunidense, quem facilita o pagamento, além de cometer a infração, está incentivando futuros ataques e, portanto, pode ser sujeito a sanções. Além disso, pagar um resgate a cibercriminosos não garante que a vítima recuperará o acesso aos dados roubados.

Violação das sanções da OFAC

Importante destacar que fazer parte da lista da OFAC implica que as empresas daquele país estarão proibidas de realizar qualquer tipo de transação com a empresa ou o indivíduo listado, além de restrições em suas operações em USD. Embora o regime da OFAC envolva leis estadunidenses, ele possui alcance extraterritorial, ou seja, seus dispositivos podem abranger as organizações estrangeiras que operam ou realizam transações utilizando o sistema financeiro dos EUA. Por isso, é fundamental para as empresas brasileiras que operam internacionalmente não apenas a consulta às listas, mas também estar atento às regras e às atualizações do sistema OFAC.

Outro fator importante é que a OFAC segue um regime de responsabilidades estritas. Assim, mesmo as violações não intencionais podem resultar em penalidades civis e criminais baseadas em responsabilidade objetiva. As penalidades impostas podem atingir não apenas às empresas, mas também aos indivíduos envolvidos na subscrição, administração e demandas, mesmo que não soubesse ou não tivesse razão para saber que estava se envolvendo em uma transação com uma pessoa proibida sob sanções leis e regulamentos administrados pela OFAC.

Em geral, a OFAC incentiva as instituições financeiras e outras empresas a implementarem um programa de conformidade baseado em risco para mitigar a exposição a violações relacionadas a sanções. Isso também se aplica a empresas que se envolvem com vítimas de ataques de ransomware, como aquelas envolvidas no fornecimento de seguro cibernético, análise forense digital e resposta a incidentes e serviços financeiros que podem envolver o processamento de pagamentos de resgate (incluindo instituições depositárias e empresas de serviços financeiros). 

Em particular, os programas de conformidade de sanções dessas empresas devem levar em conta o risco de que um pagamento de ransomware possa envolver uma pessoa bloqueada, uma lista de pessoas ou uma jurisdição totalmente embargada. As empresas envolvidas na facilitação de pagamentos de ransomware em nome das vítimas também devem considerar se têm obrigações regulamentares sob os regulamentos da Financial Crimes Enforcement Network (FinCEN).

Como são os ataques de ransomware

Ransomware é uma forma de software malicioso projetado para bloquear o acesso a um sistema de computador, muitas vezes criptografando dados ou programas, para extorquir dinheiro. Em alguns casos, além do ataque, os cibercriminosos ameaçam divulgar publicamente os arquivos confidenciais das vítimas.

Os criminosos então exigem um pagamento de ransomware, geralmente por meio de moeda digital, em troca de uma chave para descriptografar os arquivos e restaurar o acesso das vítimas aos sistemas ou dados. Nos últimos anos, os ataques de ransomware se tornaram mais focados, sofisticados, caros e numerosos. 

Segundo um alerta emitido por pesquisadores da Kaspersky, dois ransomwares estão chamando atenção após uma série de ataques contra organizações no Brasil e na América Latina. São os malwares RansomEXX, utilizado no ataque ao STJ, e o Egregor. O RansomEXX foi utilizado para criptografar os servidores do Supremo Tribunal de Justiça (STJ), causando a suspensão de sessões de julgamento durante quase uma semana. Uma de suas características é usar o nome da “vítima” como extensão para os arquivos criptografados — no caso do órgão judicial, os documentos receberam o formato STJ888.

Ao contrário do analisado em outros grupos, o RansomEXX, além de criptografar os arquivos e deixar notas de resgate, não possui funcionalidades adicionais como: comunicação com o servidor de comando e controle (C&C), encerramento de processos em execução, ou truques de anti-análise. Também foi constatado que o trojan também está atacando máquinas controladas por sistemas operacionais baseados em Linux.

Além do STJ, a Embraer, a empresa americana IPG Photonics (respeitada fabricante de lasers de fibra óptica empregados nos mais variados segmentos) e a japonesa Konica Minolta (que produz câmeras fotográficas, equipamentos de escritório e instrumentos de medida) também foram vítimas do RansomEXX.

Imagem: Reprodução/O Bastidor

	Jorge Lasmar
Doutor pela London School of Economics, LSE, Inglaterra, e autor das obras “Passaporte para o Terror: Os Voluntários do Estado Islâmico” e “Perspectivas do Terrorismo Transnacional Contemporâneo”.