La Oficina de Control de Activos Extranjeros del Departamento del Tesoro, OFAC, emitió un nuevo aviso el jueves advirtiendo a los bancos, compañías de seguros, negociadores y otros sobre los riesgos de sanciones por ayudar a las víctimas a realizar pagos de ransomware.
Antilavadodedinero / FCPA
La OFAC dijo que cualquier empresa o individuo que “facilite” los pagos de ransomware a personas, organizaciones o países sancionados podría enfrentar procesos judiciales o sanciones civiles.
La asesoría estuvo dirigida a instituciones financieras, firmas de seguros cibernéticos y empresas involucradas en análisis forense digital y respuesta a incidentes.
Las personas (individuos y organizaciones) estadounidenses generalmente tienen prohibido participar en transacciones, directa o indirectamente, con personas o entidades que la OFAC ha bloqueado, así como con aquellas cubiertas por los “embargos globales de país o región” de la OFAC (Cuba, la región de Crimea de Ucrania, Irán, Corea del Norte y Siria).
La OFAC ha bloqueado a los “ciberactores” conectados al ransomware, que incluyen:
- El supuesto desarrollador de ransomware conocido como Cryptolocker, Evgeniy Mikhailovich Bogachev. Cryptolocker infectó más de 234,000 computadoras en todo el mundo y retuvo como rehenes a más de 120,000 datos de víctimas estadounidenses.
- Dos iraníes que supuestamente manejaban pagos en criptomonedas relacionados con el ransomware SamSam. Se utilizó para atacar la ciudad de Atlanta, el Departamento de Transporte de Colorado y una gran empresa de atención médica.
- Dos subgrupos conectados con una organización criminal de Corea del Norte llamada Lazarus Group. Los subgrupos, Bluenoroff y Andariel, supuestamente estaban detrás de WannaCry 2.0. El ransomware infectó alrededor de 300.000 computadoras en al menos 150 países.
- Evil Corp. de Rusia y su presunto líder Maksim Yakbets. El malware Dridex de Evil Corp recopiló credenciales de inicio de sesión en computadoras en cientos de bancos en más de 40 países y resultó en el robo de alrededor de $ 100 millones.
El jueves, la Red de Ejecución de Delitos Financieros del Departamento del Tesoro (FinCEN) también emitió un nuevo aviso. Incluía diez “señales de alerta” que las instituciones financieras deberían considerar “al detectar, prevenir y reportar transacciones sospechosas asociadas con ataques de ransomware”.
El aviso de la OFAC dijo que las sanciones civiles por violaciones de sanciones se basan en la responsabilidad estricta. Eso significa . . .
. . . una persona sujeta a la jurisdicción de los EE. UU. puede ser considerada civilmente responsable incluso si no sabía o no tenía motivos para saber que estaba participando en una transacción con una persona que está prohibida por las leyes y regulaciones de sanciones administradas por la OFAC.
Las víctimas y quienes se ocupan de los ataques de ransomware deben comunicarse con la OFAC de inmediato si el ataque puede involucrar “un nexo de sanciones”, decía la guía. Los ataques a los bancos y al sistema financiero también deben informarse a la Oficina de Ciberseguridad y Protección de Infraestructuras Críticas del Departamento del Tesoro. Cualquier víctima también debe considerar informar a la FinCEN, el FBI, el Grupo de Trabajo sobre Fraude Cibernético del Servicio Secreto de EE. UU., La Agencia de Seguridad de Infraestructura y Ciberseguridad y la Oficina de Campo de Investigaciones de Seguridad Nacional.
Se pueden aplicar sanciones a las personas estadounidenses dondequiera que se encuentren. Ciertas sanciones también pueden aplicarse a personas no estadounidenses que provoquen que una persona estadounidense viole las sanciones.
Y las personas estadounidenses también tienen generalmente prohibido facilitar acciones de personas no estadounidenses “que no podrían ser realizadas directamente por personas estadounidenses debido a las regulaciones de sanciones de Estados Unidos”, dijo la OFAC.
La OFAC dijo que puede considerar “la existencia, naturaleza y adecuación” de un programa de cumplimiento de sanciones al tomar una decisión de aplicación. La agencia publicó un marco a fines de 2019 que describe los componentes esenciales de un programa de cumplimiento de sanciones.
Las solicitudes de licencia que involucran pagos de ransomware se revisarán caso por caso, dijo la OFAC el jueves. Existe una “presunción de negación” debido a las implicaciones de seguridad nacional: los pagos de ransomware a menudo financian grupos delictivos, pueden provocar más ataques en los Estados Unidos y no garantizan que las víctimas recuperarán el acceso a sus datos robados.
