Os incidentes de ransomware no Reino Unido são agora tão impactantes que a maioria das recentes reuniões de gerenciamento de crises “Cobra” do governo britânico foram convocadas em resposta a eles, e não a outras emergências.
A necessidade de realizar reuniões interdepartamentais regularmente revela o pouco progresso que Westminster fez para lidar com os riscos que o ransomware representa para o país, de acordo com várias fontes com conhecimento da resposta do governo, falando ao The Record sob condição de anonimato porque não eram autorizado a discutir abertamente o assunto.
Eles observaram que, apesar dos repetidos avisos do executivo-chefe do Centro Nacional de Segurança Cibernética (NCSC), Lindy Cameron, descrevendo o ransomware como a ameaça mais aguda que o país enfrenta, não parecia haver um nível proporcional de interesse ministerial. Em vez disso, sucessivos secretários do Interior priorizaram a questão das travessias de pequenos barcos de migrantes no Canal da Mancha.
As reuniões não ministeriais ocorreram nas Salas de Reunião do Gabinete do Gabinete (COBR), de onde receberam seu apelido. Historicamente, eles foram convocados para reunir funcionários de diferentes departamentos em resposta a ataques terroristas, mas agora estão cada vez mais focados em incidentes de segurança cibernética que afetam serviços críticos.
De acordo com a revisão anual do NCSC, o Reino Unido foi afetado por 18 incidentes de ransomware este ano, que “exigiram uma resposta coordenada nacionalmente”, incluindo ataques que afetaram a empresa de serviços públicos de South Staffordshire Water e o fornecedor de software do National Health Service, Advanced. O aumento do foco nesses incidentes nas reuniões do COBR não havia sido relatado anteriormente.
Ransomware ‘sprints’
O aumento nas reuniões COBR segue um “sprint” cross-Whitehall – um termo de gerenciamento de projeto – em ransomware que foi concluído em dezembro passado. A intenção era apresentar recomendações para lidar com o tema que seriam assinadas antes da reunião de ministros do Interior do G7 no final de 2021. No entanto, um ano depois da conclusão desse “sprint”, o governo ainda não entregou nenhuma decisão acionável.
O sprint apresentou várias vertentes diferentes – abordagens para diferentes aspectos do ecossistema de ransomware – que exploraram mecanismos potenciais para interromper ataques de ransomware, cada um liderado por diferentes departamentos em Whitehall. Isso incluiu uma vertente sobre pagamentos de ransomware, uma sobre relatórios obrigatórios, uma sobre seguros, uma sobre como lidar com exchanges de criptomoedas e outra sobre engajamento internacional.
Embora a existência do sprint tenha sido confirmada na revisão anual do NCSC, os tópicos em que ele se concentrou e seus resultados não são públicos. A revisão anual afirmou: “Um ‘sprint’ de ransomware do governo, liderado pelo Home Office, melhorou a compreensão da escala e complexidade da ameaça e ajudou-o a priorizar melhor, concentrar recursos, refinar conselhos e ser mais direcionado em seu envolvimento. ”
Mas as intenções iniciais para o sprint eram mais ambiciosas, de acordo com várias fontes envolvidas no processo. Eles disseram que a descrição do NCSC de que “melhorou a compreensão da escala e complexidade da ameaça” disse mais sobre a posição inicial do governo do que onde terminou.
O sprint estabeleceu várias coisas que o governo não faria; não proibiria pagamentos de resgate, nem introduziria uma obrigação de “relatório obrigatório” para as empresas divulgarem incidentes às autoridades; mas “não houve nenhum resultado tangível nesta fase”, reconheceu uma fonte ao The Record.
A introdução de relatórios obrigatórios era desejada porque as autoridades não têm visibilidade da verdadeira escala do problema do ransomware além dos incidentes críticos que exigem uma resposta nacional. “Muitas vezes, as organizações não relatam os compromissos”, alertou o NCSC em sua revisão anual. Essa incógnita conhecida – de quão prevalentes são os ataques de ransomware – levou a atritos entre os departamentos do governo.
Embora os funcionários de políticas cibernéticas do Home Office não sintam falta de apoio de outros colegas em Whitehall, o The Record entende que o Home Office lançou seu próprio projeto de pesquisa de ransomware para tentar descobrir o número real de incidentes no Reino Unido devido a frustrações com os dados fornecidos pelo Departamento de Mídia Digital, Cultura e Esporte (DCMS).
O DCMS compila uma pesquisa anual sobre violações cibernéticas, cuja edição mais recente descobriu que houve uma queda nos ataques de ransomware de 17% de todos os incidentes em 2020 para apenas 4% em 2021. No entanto, as autoridades que falaram com o The Record questionaram a utilidade do pesquisa autorreferida, que tem um viés contra quem não quer divulgar nenhum incidente, e é produzida a partir de dados coletados um ano antes, época em que o ecossistema do ransomware mudou substancialmente.
“Não devemos basear a política em uma base de evidências incompleta”, disse uma fonte com conhecimento do processo político.
No evento de lançamento de sua revisão anual de 2022, o The Record perguntou ao conselho de administração do NCSC se o governo central estava fazendo o suficiente, visto que tanto o executivo-chefe da agência quanto o chefe da agência de inteligência GCHQ, Sir Jeremy Fleming, haviam descrito em discursos naquela manhã como uma ameaça tão grave para o país.
Paul Maddinson, diretor nacional de resiliência e estratégia do NCSC, respondeu que a mudança de política do governo não era a única resposta disponível e que as empresas que estão sendo preparadas para lidar com um ataque de ransomware também poderiam minar efetivamente o modelo de negócios: “Muito disso é para fazer com que as organizações entendam que elas têm agência. Você pode interromper ataques de ransomware ou impedir que sejam tão perturbadores quanto possam ser, e acho que essa é uma mensagem muito importante.”
O Dr. Ian Levy, diretor técnico cessante da agência , acrescentou: “Mais do que qualquer outro tipo de crime cibernético, o ransomware é impulsionado pelo dinheiro. Obviamente. E se você olhar para o modelo econômico por trás disso e descobrir onde intervir – onde há um benefício assimétrico para nós – isso pode ter um grande efeito na capacidade de monetizar com esforços relativamente pequenos.
“Peço desculpas antecipadamente, mas você não está tentando vencê-los, está tentando mandá-los para a França. O objetivo é tornar o Reino Unido mais arriscado, menos lucrativo, menos útil e menos escalável para ransomware enquanto corrigimos os problemas subjacentes.”
‘Sem luz no fim do túnel l’
Em resposta a uma lista de perguntas sobre todas as declarações deste relatório, um porta-voz do governo disse ao The Record: “Defender o Reino Unido contra ataques de ransomware é uma prioridade central para este governo. Dada a natureza complexa da ameaça, estamos trabalhando em colaboração entre os departamentos, com a aplicação da lei e agências, e nossos parceiros internacionais para fortalecer nossas capacidades cibernéticas e construir a resiliência do Reino Unido.”
Eles acrescentaram que há revisões em andamento da política e abordagem operacional do governo para combater o ransomware, inclusive por meio de uma colaboração consistente com a indústria e parceiros internacionais.
Funcionários que lidam diretamente com a questão do ransomware disseram ao The Record que não viam luz no fim do túnel, nem mesmo da perspectiva de melhorias que pudessem ajudar o Reino Unido a reprimir o problema.
Eles disseram que estavam vendo “um modelo de negócios cada vez mais bem-sucedido” com “aumento das demandas de resgate” e “aumento dos pagamentos” e “se tornando mais difícil evitar o pagamento de um resgate porque todo o ecossistema está pressionando dessa maneira”.
As discussões continuaram no governo desde a conclusão do sprint do ano passado, com sanções para exchanges de criptomoedas estrangeiras descritas como as mais frutíferas.
O Ministério do Interior também introduziu disposições em seu Projeto de Lei de Crime Econômico e Transparência Corporativa que visa permitir que a aplicação da lei apreenda ativos de criptomoeda “associados a atividades ilícitas, como lavagem de dinheiro, fraude e ataques de ransomware”. Embora a lei pretenda capacitar a aplicação da lei para forçar as trocas de criptomoedas a entregar dados relacionados a possíveis empresas criminosas, não está claro como isso seria usado internacionalmente. A Suprema Corte decidiu no início deste ano que a aplicação da lei não pode exigir informações de empresas sediadas fora do Reino Unido.
Os aspectos internacionais do ecossistema de ransomware contribuem para que ele represente “um dos desafios políticos mais difíceis de nossos tempos”, de acordo com um funcionário. Em sua revisão anual, o NCSC declarou: “A maioria dos grupos criminosos de ransomware que visam o Reino Unido continuam baseados na Rússia e arredores. Embora não esteja claro até que ponto esses grupos de ransomware são dirigidos pelo Kremlin, aqueles que operam dentro das fronteiras da Rússia se beneficiam do consentimento tácito do Estado russo”.
O Registro entende que a Força Cibernética Nacional tem trabalhado em estreita colaboração com parceiros americanos em várias operações ofensivas destinadas a abordar grupos cibercriminosos, embora a comunidade britânica de segurança e inteligência geralmente seja menos pública sobre suas atividades.
Essas atividades tiveram um impacto significativo no ecossistema de ransomware, de acordo com autoridades britânicas, que disseram que até o grave impacto dos ataques de ransomware no oleoduto colonial e no frigorífico JBS no ano passado, eram eles que pressionavam seus colegas americanos. fazer mais sobre o assunto.
Após esses ataques, que geraram interesse político nos Estados Unidos para combater os agentes de ransomware, os próprios grupos reduziram deliberadamente sua segmentação, disseram várias autoridades. “Eles estão navegando um pouco abaixo do radar, então é menos provável que cheguem às primeiras páginas, e se você tiver menos probabilidade de chegar às primeiras páginas, haverá menos vontade política gerada”, acrescentou um.
Em sua revisão anual, o NCSC concordou: “É evidente que o clamor público e o maior interesse político aumentaram as apostas para os criminosos cibernéticos. Em resposta, ficou claro que alguns grupos modificaram suas técnicas para evitar a aplicação da lei, sanções e outras respostas operacionais”.
Desde as ações de aplicação da lei de 2021, “todo o ecossistema se diversificou enormemente”, com um submundo mais voltado para gangues de rua contribuindo para a ameaça. Durante a pandemia do COVID-19, alguns grupos disseram que não atacariam hospitais – honestamente ou não, eles tentaram sugerir que havia políticas que aplicariam em relação ao direcionamento – mas agora “criminosos aleatórios, afiliados, estão apenas lançando ataques indiscriminadamente”. disse um funcionário, enquanto os grandes grupos estão fazendo um esforço consciente para evitar a atenção.
O desafio de lidar com o ransomware não é exclusivo do Reino Unido, que se juntou a uma coalizão de quase 40 outros países no início deste mês na Iniciativa Internacional Contra o Ransomware para discutir como eles podem enfrentar coletivamente a ameaça global à segurança nacional.
A iniciativa se comprometeu a se concentrar no combate à capacidade do ecossistema de lucrar, “implementando e aplicando medidas antilavagem de dinheiro” para “ativos virtuais e provedores de serviços de ativos virtuais”, além de interromper os agentes de ransomware “na medida máxima permitida pela legislação de cada parceiro. leis aplicáveis”, no entanto, não avançou publicamente nenhuma solução específica em relação ao aparente refúgio seguro que esses grupos e sua infraestrutura têm na Rússia.
Esclarecimento: o uso do termo “Cobra” nesta história foi atualizado para refletir que é um apelido não oficial para reuniões COBR – ou Cabinet Office Briefing Rooms. Para fins de clareza, a referência ao Comitê de Contingências Cíveis foi retirada, pois não convoca todas as reuniões do COBR e não foi responsável por aquelas referenciadas nesta matéria.
Fonte: Recorded Future
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
