Migalhas de Peso

A ameaça de ransomware e os caminhos para enfrentá-la

O cibercrime que preocupa autoridades no mundo, compromete o funcionamento de organizações e gera tensões geopolíticas. Afinal, o que é o ransomware e quais os caminhos para combate-lo?

5/10/2021

(Imagem: Arte Migalhas)

No dia 19 de agosto, a Lojas Renner S.A. confirmou, por meio de nota oficial, ter sido alvo de um ataque cibernético, o qual comprometeu parte de seus sistemas e de suas operações. Tratava-se de um golpe de ransomware: a situação ocorre quando um malware (vírus de computador), ao infectar dispositivos eletrônicos, criptografa um banco de dados, impedindo o acesso das vítimas às informações ali contidas. A partir daí, os invasores cobram um resgate (em inglês, ransom, daí a origem do nome), normalmente a ser pago em criptomoedas, para que o acesso ao sistema seja restabelecido. Recentemente, esse tipo de ação recebeu atenção do legislador, com a promulgação da lei 14.155/2021, que tornou mais graves os crimes de violação de dispositivo informático, furto e estelionatos cometidos de forma eletrônica ou pela internet, adicionando algumas especificidades referentes aos episódios de ransomware, conforme se verá adiante.

O caso está longe de ser isolado. Existe uma proliferação desse tipo de ataque no mundo inteiro, fomentando um debate internacional a respeito de medidas a serem tomadas para conter as ameaças. No Brasil, entre as vítimas estão órgãos da Administração Pública, como o Superior Tribunal de Justiça1,  o Tribunal de Justiça do Rio Grande do Sul2 e o Ministério da Economia3, além de empresas.

Nos Estados Unidos a situação é ainda pior, sendo tratada como uma questão de segurança nacional, já que os ataques atingiram uma série de serviços essenciais à população. Em maio deste ano, a empresa Colonial Pipeline, operadora de oleodutos, foi vítima de ransomware. A indisponibilidade de acesso aos sistemas causou desabastecimento e aumento dos preços de combustíveis4, já que a empresa é responsável por 45% da distribuição de combustível da costa leste norte-americana. Ainda este ano, a fornecedora de carnes JBS admitiu ter pago a quantia de US$ 11 milhões como resgate pelo “sequestro” dos seus sistemas em ação similar.

De acordo com a pesquisa The IT Security Team: 2021 and Beyond5, realizada pela consultoria britância Vanson Bourne e encomendada pela empresa Sophos, os casos de ransomware aumentaram globalmente em 61% nas empresas entrevistadas; das 200 brasileiras que participaram da pesquisa, 71% afirmaram um aumento nos ataques. O valor dos resgates também aumentou cerca de 82% em relação ao ano passado6.

Acertada a análise de Ronaldo Lemos em recente artigo7: a pandemia de ransomware está apenas começando. Suas drásticas consequências para o funcionamento de diversos serviços públicos e privados podem gerar o ferimento de direitos individuais, notadamente ligados à privacidade e proteção de dados, bem como grandes prejuízos econômicos. Tornam-se necessárias estratégias efetivas de enfrentamento do problema.  

Quem (e o que) está por trás dos ataques?

A escalada de crimes cibernéticos não é exclusividade do Brasil, mas um fenômeno global. A propósito, são preferíveis alvos localizados em países mais ricos, pela maior capacidade de pagamento dos resgastes. De igual forma, as organizações criminosas que praticam esses atos também estão distribuídas pelo mundo, mas investigações apontam para uma concentração de gangues na Rússia e em outros países do Leste Europeu.

A concentração em determinados países não é por acaso: há uma preferência por locais com maior leniência às ações, bem como de governos que têm interesse em contar com a expertise dos hackers para atividades de espionagem ou até mesmo para lucrar.

As principais organizações são: DarkSide (responsável pelo ataque à Colonial Pipelines); e REvil (acusada de atacar o sistema da JBS e que desapareceu logo após uma ligação do presidente norte-americano Joe Biden para Vladimir Putin, presidente russo, pedindo maior rigor na punição dos crimes8). Existe, ademais, uma espécie de cartel para o compartilhamento de técnicas e tecnologias, que cria métodos cada vez mais sofisticados de invasão9, liderado por hackers de outra gangue, dentre outras, chamada Wizard Spider.

Existem diversos códigos de ransomware que exploram vulnerabilidades sistêmicas, criptografando as informações constantes de bancos de dados. Somente o FBI já identificou mais de 100 cepas diferentes10. Esses mesmos códigos podem ser utilizados para fins de espionagem entre governos, já havendo análises que comparam os códigos utilizados pelos grupos hackers, fundamentalmente o Wizard Spider, àquele usado pelo serviço de inteligência da Rússia, o Sidoh11.

Assim, pode-se dizer que a suposta ligação das organizações criminosas com governos se dá pela maneira com que os golpes ocorrem, a partir da infiltração de um código malicioso nos sistemas alvo, os malwares. Ainda que essas relações entre hackers e governos careça de investigações, algo parece inquestionável: as ações não são coordenadas por indivíduos, senão por grupos estruturados, detentores de poderosas tecnologias de infiltração. Diante disso, os mecanismos tradicionais de combate ao crime parecem obsoletos para os métodos aplicados por essas organizações criminosas.

O que fazer?

Os principais problemas que se apresentam para a resolução do exponencial aumento de casos de ransomware são: (i.) a internacionalidade do delito, com a consequente dificuldade de punir os responsáveis; (ii.) ausência de cooperação internacional, sobretudo dos governos onde os grupos estão localizados; (iii.) dificuldade (ou impossibilidade) de reverter a criptografia, uma vez ocorrida a infiltração; (iv) pouco investimento nos setores da segurança da informação; entre outras situações que afastam essa atividade criminosa das técnicas comuns de repressão a delitos. Conforme já referido, o Brasil recentemente modificou seu Código Penal, com a lei 14.155/2021, buscando tipificar, de forma mais específica e com maiores penas, casos de crimes cibernéticos, dentre eles os de ransomware.

O art. 154-A do Código Penal, antes introduzido pela lei 12.737/2012 (lei Carolina Dieckman), que trata do crime de invasão de dispositivo informático, dispõe no §2º o aumento de pena de 1/3 a 2/3 quando houver prejuízo econômico e no §3º estabelece pena de reclusão de 2 a 5 anos caso a invasão resulte na obtenção de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, ou o controle remoto não autorizado do dispositivo invadido.

Além disso, alterou-se o art. 155 do Código Penal, crime de furto, para criar uma nova qualificadora com a inclusão do § 4º-B, o qual estabelece pena de 4 a 8 anos quando o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo. Apesar de não trazer nada a respeito da exigência de resgate para a devolução da posse das informações criptografadas, a qualificadora adequa-se aos golpes de ransomware — notadamente pela detenção da posse pacífica dos dados. Além disso, foi adicionada no § 4º-C, inciso I, causa de aumento de pena de 1/3 a 2/3 se o crime é praticado mediante a utilização de servidor mantido fora do território nacional.

Percebe-se, portanto, que o Brasil já possui uma legislação penal que oferece respostas à proliferação dos golpes de ransomware. Certamente, ainda há o que se aprofundar em termos de técnica legislativa e dogmática penal. Por exemplo, a compreender se há concurso material entre a invasão de dispositivo eletrônico qualificada (art. 154-A § 3º, CP) e o furto qualificado (art. 155, § 4º-B, CP), na medida em que, aparentemente, os dispositivos tratam de bens jurídicos distintos.

De todo modo, a tipificação é sim louvável, por oferecer mecanismos de combate à conduta, auxiliando na repressão de agentes locais ou, ainda, daqueles que auxiliam hackers estrangeiros — como o funcionário da empresa que facilita a invasão dos sistemas em troca de um percentual do resgate.

No entanto, a medida, sozinha, não dá conta do problema. Outras questões legislativas são discutidas em diferentes países, a exemplo dos Estados Unidos que debatem sobre a obrigatoriedade de informar às autoridades quando o golpe ocorre ou, ainda, em relação a proibição do pagamento de resgate, a fim de conter o avanço dos criminosos. No Brasil, com a entrada em vigor da lei Geral de Proteção de Dados, a informação do incidente à Agência Nacional de Proteção de Dados (ANPD) já é obrigatória por força do art. 48 da referida lei.

Relativamente ao pagamento do resgate, de fato, não é recomendável que seja feito, tanto para não incentivar a atividade criminosa quanto por não haver garantia da contraparte do restabelecimento do sistema. No entanto, algumas situações não permitem que haja a reestruturação própria dos dados perdidos, seja pela urgência ou pelo nível de infiltração, sendo o pagamento a única chance de minimizar os danos. No caso que deu início a este artigo, da Lojas Renner S.A., a empresa informou que não realizou qualquer tipo de pagamento ou contato com os criminosos, realizando a restauração própria de seu sistema.

Ademais, a cooperação internacional entre as autoridades de segurança, bem como o relato dos incidentes, auxilia na contenção dessas práticas. A polícia europeia, Europol, juntamente com empresas do setor, criou a iniciativa “No More Ransom” (NMR), que disponibiliza gratuitamente para as vítimas mais de 120 ferramentas para cerca de 150 diferentes modalidades de ransomware12, possibilitando que os arquivos infectados sejam descriptografados sem o pagamento de resgate.

No Brasil, para uma efetiva integração com polícias internacionais e seus bancos de dados, notadamente a Interpol, urge uma adaptação de nosso sistema penal às normas internacionais de proteção de dados e privacidade para investigações criminais e segurança pública, fundamentalmente àquelas previstas no Anteprojeto de LGPD Penal13.

A adoção de métodos de prevenção dos crimes é a melhor resposta à proliferação do problema.  Investimento em tecnologias de segurança de informação, adoção de padrões internacionais de segurança e conscientização, com treinamentos dos usuários das redes, entre outras medidas, podem inibir a ação dos criminosos. Recentemente, com esse intuito, a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) divulgou um manual oficial, a fim de instruir entidades a lidar com a ameaça14; backups constantes, elaboração de planos de segurança, testes de vulnerabilidades, entre outras medidas de prevenção são listadas.

É certa a urgência e a importância da adoção de medidas de combate aos casos de ransomware. Torna-se imperativa a ampliação do debate sobre o tema, bem como a adoção de medidas que possam conter o avanço dessas ações criminosas em serviços públicos e essenciais, fundamentalmente em órgãos da Administração Pública.

__________

1 Disponível aqui. Último acesso em 23.8.21.

2 Disponível aqui. Último acesso em 23.8.21.

3 Disponível aqui. Último acesso em 23.8.21.

4 Disponível aqui. Último acesso em 23.8.21.

5 Disponível aqui. Último acesso em 24.8.21.

6 Disponível aqui. Último acesso em 24.8.21.

7 Disponível aqui. Último acesso em 24.8.21.

8 Disponível aqui. Último acesso em 24.8.21.

9 Disponível aqui. Último acesso em 24.8.21.

10 Disponível aqui. Último acesso em 24.8.21.

11 Disponível aquiÚltimo acesso em 24.8.21.

12 Disponível aqui. Último acesso em 24.8.21.

13 Disponível aqui. Último acesso em 25.8.21.

14 Disponível aqui. Último acesso em 25.8.21.

André da Rocha
Mestre em Ciências Criminais pela PUC/RS, graduado em Direito pela UFRGS, com certificação em Privacidade e Proteção de Dados pelo Instituto Data Privacy Brasil, atua como advogado criminalista na Fayet Advocacia Criminal.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

Ramsonware: o sequestro de dados que preocupa os escritórios de advocacia

6/9/2016

Artigos Mais Lidos

Doença degenerativa da coluna lombar aposenta? Entenda!

26/12/2024

Decisão do STF sobre ITCMD: Impactos no planejamento previdenciário

26/12/2024

Comentários ao acórdão proferido no RE 107.248 sobre terço de férias

26/12/2024

Sobre o decreto do uso da força policial

27/12/2024

As expressões de publicidade como marca: Breve reflexão sobre a nova interpretação do inciso VII do art. 124 da LPI pelo INPI

27/12/2024