A ameaça de ransomware e os caminhos para enfrentá-la

No dia 19 de agosto, a Lojas Renner S.A. confirmou, por meio de nota oficial, ter sido alvo de um ataque cibernético, o qual comprometeu parte de seus sistemas e de suas operações. Tratava-se de um golpe de ransomware: a situação ocorre quando um malware (vírus de computador), ao infectar dispositivos eletrônicos, criptografa um banco de dados, impedindo o acesso das vítimas às informações ali contidas. A partir daí, os invasores cobram um resgate (em inglês, ransom, daí a origem do nome), normalmente a ser pago em criptomoedas, para que o acesso ao sistema seja restabelecido. Recentemente, esse tipo de ação recebeu atenção do legislador, com a promulgação da lei 14.155/2021, que tornou mais graves os crimes de violação de dispositivo informático, furto e estelionatos cometidos de forma eletrônica ou pela internet, adicionando algumas especificidades referentes aos episódios de ransomware, conforme se verá adiante.

O caso está longe de ser isolado. Existe uma proliferação desse tipo de ataque no mundo inteiro, fomentando um debate internacional a respeito de medidas a serem tomadas para conter as ameaças. No Brasil, entre as vítimas estão órgãos da Administração Pública, como o Superior Tribunal de Justiça¹,  o Tribunal de Justiça do Rio Grande do Sul² e o Ministério da Economia³, além de empresas.

Nos Estados Unidos a situação é ainda pior, sendo tratada como uma questão de segurança nacional, já que os ataques atingiram uma série de serviços essenciais à população. Em maio deste ano, a empresa Colonial Pipeline, operadora de oleodutos, foi vítima de ransomware. A indisponibilidade de acesso aos sistemas causou desabastecimento e aumento dos preços de combustíveis⁴, já que a empresa é responsável por 45% da distribuição de combustível da costa leste norte-americana. Ainda este ano, a fornecedora de carnes JBS admitiu ter pago a quantia de US$ 11 milhões como resgate pelo "sequestro" dos seus sistemas em ação similar.

De acordo com a pesquisa The IT Security Team: 2021 and Beyond5, realizada pela consultoria britância Vanson Bourne e encomendada pela empresa Sophos, os casos de ransomware aumentaram globalmente em 61% nas empresas entrevistadas; das 200 brasileiras que participaram da pesquisa, 71% afirmaram um aumento nos ataques. O valor dos resgates também aumentou cerca de 82% em relação ao ano passado⁶.

Acertada a análise de Ronaldo Lemos em recente artigo⁷: a pandemia de ransomware está apenas começando. Suas drásticas consequências para o funcionamento de diversos serviços públicos e privados podem gerar o ferimento de direitos individuais, notadamente ligados à privacidade e proteção de dados, bem como grandes prejuízos econômicos. Tornam-se necessárias estratégias efetivas de enfrentamento do problema.  

Quem (e o que) está por trás dos ataques?

A escalada de crimes cibernéticos não é exclusividade do Brasil, mas um fenômeno global. A propósito, são preferíveis alvos localizados em países mais ricos, pela maior capacidade de pagamento dos resgastes. De igual forma, as organizações criminosas que praticam esses atos também estão distribuídas pelo mundo, mas investigações apontam para uma concentração de gangues na Rússia e em outros países do Leste Europeu.

A concentração em determinados países não é por acaso: há uma preferência por locais com maior leniência às ações, bem como de governos que têm interesse em contar com a expertise dos hackers para atividades de espionagem ou até mesmo para lucrar.

As principais organizações são: DarkSide (responsável pelo ataque à Colonial Pipelines); e REvil (acusada de atacar o sistema da JBS e que desapareceu logo após uma ligação do presidente norte-americano Joe Biden para Vladimir Putin, presidente russo, pedindo maior rigor na punição dos crimes⁸). Existe, ademais, uma espécie de cartel para o compartilhamento de técnicas e tecnologias, que cria métodos cada vez mais sofisticados de invasão⁹, liderado por hackers de outra gangue, dentre outras, chamada Wizard Spider.

Existem diversos códigos de ransomware que exploram vulnerabilidades sistêmicas, criptografando as informações constantes de bancos de dados. Somente o FBI já identificou mais de 100 cepas diferentes¹⁰. Esses mesmos códigos podem ser utilizados para fins de espionagem entre governos, já havendo análises que comparam os códigos utilizados pelos grupos hackers, fundamentalmente o Wizard Spider, àquele usado pelo serviço de inteligência da Rússia, o Sidoh¹¹.

Assim, pode-se dizer que a suposta ligação das organizações criminosas com governos se dá pela maneira com que os golpes ocorrem, a partir da infiltração de um código malicioso nos sistemas alvo, os malwares. Ainda que essas relações entre hackers e governos careça de investigações, algo parece inquestionável: as ações não são coordenadas por indivíduos, senão por grupos estruturados, detentores de poderosas tecnologias de infiltração. Diante disso, os mecanismos tradicionais de combate ao crime parecem obsoletos para os métodos aplicados por essas organizações criminosas.

O que fazer?

Os principais problemas que se apresentam para a resolução do exponencial aumento de casos de ransomware são: (i.) a internacionalidade do delito, com a consequente dificuldade de punir os responsáveis; (ii.) ausência de cooperação internacional, sobretudo dos governos onde os grupos estão localizados; (iii.) dificuldade (ou impossibilidade) de reverter a criptografia, uma vez ocorrida a infiltração; (iv) pouco investimento nos setores da segurança da informação; entre outras situações que afastam essa atividade criminosa das técnicas comuns de repressão a delitos. Conforme já referido, o Brasil recentemente modificou seu Código Penal, com a lei 14.155/2021, buscando tipificar, de forma mais específica e com maiores penas, casos de crimes cibernéticos, dentre eles os de ransomware.

O art. 154-A do Código Penal, antes introduzido pela lei 12.737/2012 (lei Carolina Dieckman), que trata do crime de invasão de dispositivo informático, dispõe no §2º o aumento de pena de 1/3 a 2/3 quando houver prejuízo econômico e no §3º estabelece pena de reclusão de 2 a 5 anos caso a invasão resulte na obtenção de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, ou o controle remoto não autorizado do dispositivo invadido.

Além disso, alterou-se o art. 155 do Código Penal, crime de furto, para criar uma nova qualificadora com a inclusão do § 4º-B, o qual estabelece pena de 4 a 8 anos quando o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo. Apesar de não trazer nada a respeito da exigência de resgate para a devolução da posse das informações criptografadas, a qualificadora adequa-se aos golpes de ransomware - notadamente pela detenção da posse pacífica dos dados. Além disso, foi adicionada no § 4º-C, inciso I, causa de aumento de pena de 1/3 a 2/3 se o crime é praticado mediante a utilização de servidor mantido fora do território nacional.

Percebe-se, portanto, que o Brasil já possui uma legislação penal que oferece respostas à proliferação dos golpes de ransomware. Certamente, ainda há o que se aprofundar em termos de técnica legislativa e dogmática penal. Por exemplo, a compreender se há concurso material entre a invasão de dispositivo eletrônico qualificada (art. 154-A § 3º, CP) e o furto qualificado (art. 155, § 4º-B, CP), na medida em que, aparentemente, os dispositivos tratam de bens jurídicos distintos.

De todo modo, a tipificação é sim louvável, por oferecer mecanismos de combate à conduta, auxiliando na repressão de agentes locais ou, ainda, daqueles que auxiliam hackers estrangeiros - como o funcionário da empresa que facilita a invasão dos sistemas em troca de um percentual do resgate.

No entanto, a medida, sozinha, não dá conta do problema. Outras questões legislativas são discutidas em diferentes países, a exemplo dos Estados Unidos que debatem sobre a obrigatoriedade de informar às autoridades quando o golpe ocorre ou, ainda, em relação a proibição do pagamento de resgate, a fim de conter o avanço dos criminosos. No Brasil, com a entrada em vigor da lei Geral de Proteção de Dados, a informação do incidente à Agência Nacional de Proteção de Dados (ANPD) já é obrigatória por força do art. 48 da referida lei.

Relativamente ao pagamento do resgate, de fato, não é recomendável que seja feito, tanto para não incentivar a atividade criminosa quanto por não haver garantia da contraparte do restabelecimento do sistema. No entanto, algumas situações não permitem que haja a reestruturação própria dos dados perdidos, seja pela urgência ou pelo nível de infiltração, sendo o pagamento a única chance de minimizar os danos. No caso que deu início a este artigo, da Lojas Renner S.A., a empresa informou que não realizou qualquer tipo de pagamento ou contato com os criminosos, realizando a restauração própria de seu sistema.

Ademais, a cooperação internacional entre as autoridades de segurança, bem como o relato dos incidentes, auxilia na contenção dessas práticas. A polícia europeia, Europol, juntamente com empresas do setor, criou a iniciativa "No More Ransom" (NMR), que disponibiliza gratuitamente para as vítimas mais de 120 ferramentas para cerca de 150 diferentes modalidades de ransomware¹², possibilitando que os arquivos infectados sejam descriptografados sem o pagamento de resgate.

No Brasil, para uma efetiva integração com polícias internacionais e seus bancos de dados, notadamente a Interpol, urge uma adaptação de nosso sistema penal às normas internacionais de proteção de dados e privacidade para investigações criminais e segurança pública, fundamentalmente àquelas previstas no Anteprojeto de LGPD Penal¹³.

A adoção de métodos de prevenção dos crimes é a melhor resposta à proliferação do problema.  Investimento em tecnologias de segurança de informação, adoção de padrões internacionais de segurança e conscientização, com treinamentos dos usuários das redes, entre outras medidas, podem inibir a ação dos criminosos. Recentemente, com esse intuito, a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) divulgou um manual oficial, a fim de instruir entidades a lidar com a ameaça¹⁴; backups constantes, elaboração de planos de segurança, testes de vulnerabilidades, entre outras medidas de prevenção são listadas.

É certa a urgência e a importância da adoção de medidas de combate aos casos de ransomware. Torna-se imperativa a ampliação do debate sobre o tema, bem como a adoção de medidas que possam conter o avanço dessas ações criminosas em serviços públicos e essenciais, fundamentalmente em órgãos da Administração Pública.