Dentre as distintas modalidades de softwares maliciosos (malwares) projetados para prejudicar dispositivos, servidores ou redes, explorando vulnerabilidades e interrompendo seu funcionamento ou coletando informações privadas, o ransomware alinha-se àqueles que, ao infectar determinado alvo, têm como finalidade torná-lo inacessível no todo ou em parte, exigindo das vítimas o pagamento de resgate (ramson) para sua liberação.
Nas versões clássicas de ransomwares (criptográfico ou de bloqueio), os cibercriminosos utilizam de criptografia para tornar arquivos ou sistemas inacessíveis e apresentam às vítimas mensagem exigindo pagamento de valores para fornecer a chave de descriptografia; ou simplesmente bloqueiam o dispositivo ou sistema, sem criptografia, demandando o pagamento para liberação do acesso. [1]
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
No entanto, desde sua identificação no final da década de 1980, o ransomware evoluiu para variantes mais complexas como, por exemplo, o de extorsão dupla (double extortion) e tripla extorsão (triple extortion). O primeiro, além de criptografar dados sensíveis, ameaça divulgar ou vendê-los caso não haja pagamento.
Já o segundo busca expandir o alcance do ataque afetando clientes ou parceiros de negócios da vítima, chantageando-os e exigindo igualmente resgate. Essas abordagens amplificam a pressão sobre as vítimas primárias e secundárias, que temem a perda ou venda dos dados, exposição pública e eventuais danos reputacionais e a terceiros.[2]
A especialização da indústria do cibercrime possibilitou a contratação do serviço de ransomware na deep web. O modelo RaaS (ransomware as a service) amplia a disseminação dos programas maliciosos, permitindo que criminosos com limitados conhecimentos em informática lancem ataques usando ferramentas e infraestruturas oferecidas por outros cibercriminosos.[3]
Embora qualquer indivíduo ou organização possa ser alvo de ataques ransomware, setores específicos são mais vulneráveis devido a sua importância e ao valor dos dados.
Organizações de saúde (hospitais e clínicas), de pesquisa e desenvolvimento (universidades e centros de pesquisa), bancos e empresas ou instituições que gerenciam serviços essenciais à sociedade (transporte público, meios de pagamento, cadastro de devedores, sistemas jurídicos e policiais, dentre outros) são alvos frequentes desses ataques, que visam a fragilização e o acesso a dados sensíveis como informações pessoais, médicas, processos, pesquisas acadêmicas e de propriedade intelectual, informações financeiras ou mesmo o comprometimento das operações e a deleção dos dados[4].
Pequenas e médias empresas (PMEs) e usuários domésticos são igualmente vítimas frequentes. Isso porque essas empresas não costumam fazer investimentos em cibersegurança, tampouco possuem planos de resposta a tais incidentes, enquanto os usuários domésticos sucumbem principalmente por meio de ataques de phishing, onde o ransomware é instalado após a vítima clicar em link malicioso. Nos ataques a indivíduos, os criminosos visam principalmente informações pessoais, como dados bancários, redes sociais e arquivos privados.
Independentemente da modalidade de ataque, os impactos podem ser devastadores, especialmente quando as vítimas não possuem sistemas de segurança de rede adequados ou seus orçamentos são muito limitados para investimentos em segurança.
Mesmo assim, é cediço que o objetivo primordial do ataque ransomware é locupletar-se em detrimento das vítimas, sendo que o pagamento mais comumente exigido é em criptomoedas, devido à dificuldade de rastreabilidade e de recuperação do montante pago.
O ransomware, enquanto modalidade de ataque cibernético, tornou-se uma das maiores preocupações na segurança digital e um desafio no Direito Penal.
A mera invasão de sistemas informáticos poderia ser subsumida à figura o crime de invasão de dispositivo informático, insculpido no artigo 154-A do Código Penal[5], quando visar obter, adulterar ou destruir dados sem autorização.
Além disso, o §1º do artigo 154-A pune a conduta de quem produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa malicioso, o que abarcaria sobretudo a modalidade de ransomware como serviço (RaaS) supramencionada. Assim como o também §3º criminaliza se da invasão resultar o controle remoto não autorizado do dispositivo invadido
Não obstante, o ransomware é composto de outras camadas que extrapolam a mera invasão do dispositivo ou a geração de dano estando mais próximo da figura do crime de extorsão, insculpido no artigo158 do Código Penal, que pune quem constrange terceiro, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa.
Sendo crime complexo e pluriofensivo, a extorsão, além de invadir o dispositivo e poder adulterar os dados, o que absorveria os crimes anteriores, causa concomitantemente lesão ao patrimônio da vítima (indevida vantagem econômica), e à sua integridade física (violência à pessoa) ou liberdade individual (grave ameaça)[6].
Isso porque, embora a violência física não esteja presente, a ameaça de divulgação de dados sensíveis, ou a impossibilidade de acesso a informações essenciais, é uma forma de coerção psicológica, funcionando como verdadeiro constrangimento contra a vítima para a obtenção da vantagem econômica.
Caso a vantagem visada não seja econômica, a extorsão pode ser afastada, dando lugar a figuras como crime de constrangimento ilegal (artigo146) ou mesmo crimes contra a dignidade sexual da vítima, como por exemplo estupro (artigo 213).
A depender da finalidade e do alvo envolvidos no ataque, a conduta criminosa pode ainda ser caracterizada de outras formas. Pode-se citar, por exemplo, ciberataques realizados contra o Estado e seus sistemas críticos na intenção de causar dano, obter informações sensíveis ou tomada de controle de determinados sistemas, o que poderia ser enquadrado como crime contra a segurança dos meios de comunicação e transporte e outros serviços públicos (artigos 260 a 266) ou mesmo crimes de terrorismo ou ciberterrorismo previstos na Lei 13.260/2016.
De se mencionar ainda a possiblidade do ransomware incorporar elementos do estelionato (artigo 171, Código Penal), pois ainda que os criminosos prometam a devolução de dados ou sistemas após o pagamento, muitas vezes, não cumprem a promessa ou, pior, solicitam pagamento adicional. Sendo discutível se o não cumprimento da promessa também não se coadunaria com a extorsão continuada.
Assim, sob a ótica do ransomware como fenômeno criminal, pode-se entender que é multifacetado, podendo ser enquadrado em diferentes condutas criminais. Nesse sentido, o Brasil, apesar de leis mais recentes sobre criminalidade digital ainda precisa adaptar sua legislação para lidar com as ameaças cibernéticas e responsabilizar eficazmente os criminosos.
[1] F-Secure (2022), What is ransomware? A guide to malware-driven cyber extortion, acessível em https://www.f-secure.com/en/articles/what-is-a-ransomware-attack
[2] Artic Wolf (2024), The Dangers of Double and Triple Extortion in Ransomware, acessível em https://arcticwolf.com/resources/blog/dangers-of-double-and-triple-extortion/
[3] IBM (2024), HOLDSWORTH, Jim e KOSINSKI, Matthew, What is ransomware as a service ?, acessível em https://www.ibm.com/think/topics/ransomware-as-a-service
[4] NUNES, Duarte Rodrigues, O fenómeno do ransomware e o seu enquadramento jurídico-penal, Revista científica sobre Cyberlaw do Centro de Investigação Jurídica do Ciberespaço da Faculdade de Direito da Universidade de Lisboa, Lisboa, v. 8, set. 2019, fls. 15
[5] SOTO, Rafael Eduardo; SERRO, Bruna, Apontamentos ao delito de invasão de dispositivo informático, Revista Magister de Direito Penal e Processual Penal, n.º 58, Porto Alegre: Magnificat, 2014
[6] MASSON, Cleber, Código Penal comentado, 2. ed. rev., atual. e ampl., Rio de Janeiro: Forense; São Paulo: MÉTODO, 2014, fls. 665
