jusbrasil.com.br
24 de Junho de 2017

Crimes digitais: 2016 foi o ano do Ransomware

Canal Ciências Criminais
há 4 meses

Crimes digitais 2016 foi o ano do Ransomware

Por Marcelo Crespo

Ataques de ransomware não são novidade (já havíamos escrito sobre isso em outubro de 2015, veja AQUI) mas, em 2016, a prática aumentou significativamente tanto em frequência como em sofisticação, já que os criminosos enxergaram que se trata de uma excelente oportunidade de ganhos somada à baixa probabilidade de serem descobertos e punidos.

Ransomware[1] é a prática criminosa de restringir o acesso a sistemas informáticos/bancos de dados exigindo valores para que os mesmos sejam restabelecidos. Apesar de sua aparição remontar a 1989, o termo se popularizou a partir de 2012, a partir de relatório publicado pelo Federal Bureau of Investigation – FBI.

Um relatório divulgado no início de fevereiro apontou que no ano passado houve uma movimentação curiosa no que tangem os crimes digitais, em especial o ransomware: os ataques deste tipo tiveram incremento de, aproximadamente, cento e sessenta e sete vezes: em 2015 foram 3,8 milhões de ataques e, em 2016, nada menos que 638 milhões. Foram analisados dados diários de mais de um milhão de fontes, em mais de duzentos países.

Por outro lado, segundo o mesmo relatório, as tentativas de ataque de malware total caíram pela primeira vez em anos (7,87 bilhões em 2016 X 8,19 bilhões em 2015). O relatório demonstra, ainda, que não houve segmentos poupados e que os ataques aconteceram de forma igualitária: indústria de engenharia mecânica e industrial com 15% das tentativas; indústria farmacêutica com 13%, serviços financeiros com 13% e setor imobiliário com 12%).

Vale ressaltar, ainda, que a prática do ransomware-asaservice (RaaS) também aumentou. Nesta prática um criminoso adquire de outro o kit com todos os códigos necessários para o ataque.

E, fica a critério do adquirente quem será atacado e quanto exigirá como resgate. Comumente os criminosos acertam, ainda, o repasse de uma porcentagem do lucro ao desenvolvedor/vendedor do kit de ataque.

O RaaS é como uma terceirização da prática criminosa, de modo que independentemente de se conhecer programação, é possível infectar equipamentos. Seu custo é baixo (entre dez e cem dólares) e, estima-se que em 2016 tenha gerado nada menos que um bilhão de dólares de lucro para os criminosos.

Apesar de os ataques de phishing serem mais populares, o ransomware está se mostrando uma opção bastante vantajosa. Crê-se que o phishing ainda seja o método preferido porque normalmente é mais fácil explorar o erro humano que as vulnerabilidades sistêmicas, mas o enorme crescimento da prática de ransomware mostra que é algo que se deve prestar muita atenção.

No Brasil a prática do ransonware pode ser tipificada como crime de extorsão (art. 158, CP). Isso porque há um claro constrangimento mediante grave ameaça (da não recuperação do sistema ou do banco de dados), com o intuito de que seja pago um resgate, isto é, a obtenção de vantagem econômica indevida.

Devemos ressaltar, ainda, que o resgate/valor sequer precisa ser pago para a configuração do crime, já que se trata de crime formal. A tipicidade não exige que o valor seja pago.

Importante salientar, ainda, que no caso da difusão de vírus que pretenda bloquear o acesso a sistema informático, seria possível cogitar da tipificação do § 1º do art. 154-A do Código Penal restaria absorvida pela consunção.

O § 1º incrimina a conduta daqueles que produzem, oferecem, distribuem, vendem a terceiros, ou simplesmente difundem aleatoriamente dispositivos ou programas de computador que possam ser utilizados por terceiros para invadirem dispositivos informáticos ou neles instalar vulnerabilidades[2].

Mas de que adiantaria apenas a difusão de vírus que bloqueasse o acesso a bancos de dados pura e simplesmente?

Normalmente as condutas de criação e disseminação do kit para ataque de ransomware e o ataque propriamente dito serão praticadas num contexto muito próximo, fazendo com que os envolvidos respondam nos termos do art. 29 do Código Penal, isto é, responderão pelos mesmos fatos.

E, nesta perspectiva, o crime fim absorveria o crime meio, isto é, ambos responderiam pela extorsão.

Mais do que nunca, então, é fundamental se precaver deste tipo de prática criminosa recomendando-se que sempre se faça cópias de segurança em locais efetivamente distintos (não basta que estejam na nuvem ou no mesmo servidor), que se mantenha o sistema atualizado, protegidos por antivírus e firewall.

Outras dicas podem ser lidas AQUI e AQUI.


NOTAS

[1] É um neologismo surgido da conjugação de “ransom” (é o valor de resgate nos crimes de extorsão/sequestro) + “malware” (malicious + software = vírus computacional).

[2] Vulnerabilidades não são propriamente instaladas, mas exploradas.

Fonte: Canal Ciências Criminais

1 Comentário

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

Trata-se - o Ransomware - de um perigo real especialmente no setor jurídico, já que a virtualização de documentos e autos é uma realidade crescente nos escritórios de advocacia e no próprio judiciário.

É preciso cautela não apenas quanto à segurança para acesso aos sistemas, mas também no que diz respeito ao resguardo da informação neles contidas.

Não importa o tamanho do seu escritório: é preciso sempre investir em uma política séria de segurança da informação, além de regulamentação interna do acesso aos sistemas e à informação.

Segurança da informação é muito mais do que simplesmente instalar um software antivírus ou redefinir senhas. O preço de uma consultoria especializada é baixo se compararmos ao risco de uma situação como a que é descrita no artigo. continuar lendo