This post is also available in: Português Español
O Ransomware é uma ameaça cibernética devastadora e silenciosa que continua a trazer prejuízos para empresas ao redor do mundo. Conforme destacado no relatório da Sophos “State of Ransomware 2024”, 59% das organizações foram vítimas de ataques de ransomware neste ano. Embora essa porcentagem represente uma leve queda em relação aos 66% do ano passado, ainda revela a gravidade e a persistência dessa ameaça.
O relatório oferece uma visão abrangente do panorama atual de ransomware, com dados coletados de mais de 3.000 tomadores de decisão de TI em 14 países, entre os meses de Janeiro e Fevereiro de 2024. Ele analisa tendências, impacto financeiro, setores mais afetados, e práticas recomendadas para mitigar riscos.
O que é Ransomware?
Para quem não está familiarizado, ransomware é um tipo de malware que, ao infectar um sistema, criptografa os dados da vítima, tornando-os inacessíveis. Os cibercriminosos então exigem um resgate, geralmente em criptomoeda, em troca da chave de descriptografia que promete restaurar o acesso aos dados.
Prevalência do Ransomware
O relatório destaca que 59% das organizações foram atingidas por ransomware. Isso mostra uma leve queda em relação aos 66% dos anos anteriores, mas ainda assim indica que a ameaça permanece extremamente presente e perigosa.
Fonte: Sophos “State of Ransomware 2024”
A incidência de ataques varia significativamente conforme o tamanho da empresa. Empresas menores, com menos de 10 milhões de dólares em receita, relatam menos ataques em comparação com grandes corporações, com receitas superiores a 5 bilhões de dólares. Além disso, a localização geográfica e o setor de atuação também influenciam a probabilidade de um ataque.
Prejuízos financeiros
O relatório também revela, que uma parte das empresas afetadas por ataques ransomware, opta pelo pagamento do resgate.Em média, 34% das empresas que pagam o resgate consegue recuperar seus dados. Vale ressaltar que o pagamento dos resgates acaba fomentando novos ataques e financiando o mercado do cibercrime.
Os custos associados aos ataques de ransomware são impressionantes. As despesas incluem não apenas o pagamento do resgate, mas também os custos de recuperação e interrupção das operações. O relatório também apresenta dados pontuais sobre o custo dos ataques, segmentados por tipo. Em média, os custos de recuperação de incidentes que envolvem exploração de vulnerabilidades chegam a 3 milhões de dólares, um valor quatro vezes maior do que os ataques iniciados por credenciais comprometidas.
Causas dos ataques e seus impactos
Os vetores de ataque mais comuns incluem exploração de vulnerabilidades, comprometimento de credenciais e e-mails maliciosos, incluindo o phishing. O relatório destaca que 94% dos ataques tentam comprometer backups, tornando fundamental a manutenção de cópias de segurança offline e separadas da rede principal.
Fonte: Sophos “State of Ransomware 2024”
Os danos causados por um ataque de ransomware podem ser imensuráveis. Em média, cerca de 49% dos dispositivos de uma organização são afetados durante um ataque. Isso não apenas paralisa as operações, mas também pode resultar na perda permanente de dados importantes se os backups forem comprometidos – uma tática que os atacantes tentam em 94% dos casos.
Além disso, a recuperação completa de um ataque pode levar meses, com custos que variam muito, mas que frequentemente ultrapassam milhões de dólares.
O Ransomware em diferentes setores
O impacto financeiro é apenas uma parte do problema. A interrupção operacional, a perda de confiança dos clientes e o dano à reputação são consequências igualmente graves. Empresas de todos os tamanhos são alvos – desde pequenas organizações com menos de 10 milhões de dólares de receita, até gigantes com receitas superiores a 5 bilhões de dólares.
Setores críticos, como energia, petróleo e gás, têm sido especialmente visados, pois esses setores enfrentam riscos elevados devido à sua infraestrutura essencial. Um ataque bem-sucedido não só afeta as operações internas, mas também pode ter consequências devastadoras para a sociedade como um todo, interrompendo o fornecimento de energia e causando prejuízos econômicos significativos.
Como proteger sua empresa
A segurança cibernética deve ser uma prioridade máxima para qualquer empresa que queira proteger seus ativos e garantir a continuidade do negócio. Existem algumas práticas para manter seu negócio mais seguro, vou citá-las abaixo.
Manter sistemas e softwares atualizados: A exploração de vulnerabilidades não corrigidas é uma das principais causas de ataques de ransomware. Garantir que todos os sistemas estejam com os patches mais recentes reduz significativamente o risco de um ataque.
Implementar soluções robustas de backup: Ter backups atualizados, on-line e off-line é essencial. Mesmo que os atacantes consigam comprometer os dados principais, ter backups seguros pode permitir uma recuperação rápida e evitar o pagamento do resgate (e vale lembrar que não é recomendado pagar pelo resgate, pois não há garantia nenhuma de recuperação dos dados). De todo modo, é importante atentar-se, que a exposição da informação, também é uma estratégia aplicada pelos cibercriminosos. Nestes cenários, ter um backup, auxilia no reestabelecimento da operação, contudo, a empresa ainda estará sujeita à sansões legais, e impactos associados a marca. Por isso, backup não é tudo.
Treinamento contínuo de funcionários: Muitos ataques começam com um simples e-mail malicioso. Treinar os funcionários para reconhecer e evitar phishing e outras formas de engenharia social é fundamental, não esqueça disso.
Monitoramento constante e resposta a incidentes: Ter uma equipe dedicada ou terceirizada que possa monitorar, detectar e responder rapidamente a incidentes de segurança pode fazer toda a diferença na contenção de um ataque e reestabelecimento das operações.
Resposta a incidentes
O processo de resposta a incidentes de ransomware deve ser um documento amplo e detalhado, que precisa ser revisado e comunicado frequentemente para os times envolvidos no processo. O objetivo, com as dicas que serão apresentadas a seguir, é apenas organizar um “Norte”, contudo, na prática, muitos outros processos são necessários para a orquestração de uma resposta viável a incidentes deste tipo.
O primeiro passo é isolar imediatamente os sistemas infectados. Desconecte as máquinas afetadas da rede para evitar que o ransomware se espalhe para outros dispositivos e servidores. Isso pode envolver a desconexão física dos cabos de rede ou a desativação do Wi-Fi.
Assim que o isolamento for realizado, é fundamental notificar todas as partes relevantes. Isso inclui a equipe de TI, que deve liderar a resposta técnica, e a alta administração, que precisa estar ciente da situação para tomar decisões. Além disso, considere notificar as autoridades competentes, como a polícia cibernética, especialmente se houver implicações legais ou regulatórias.
Com as máquinas infectadas isoladas, a equipe de TI deve avaliar o escopo e o impacto do ataque. Isso envolve identificar quais sistemas e dados foram comprometidos, o tipo de ransomware utilizado e se há evidências de exfiltração de dados. A compreensão completa do impacto é essencial para planejar a recuperação.
Se a empresa possui backups atualizados e seguros, a recuperação dos dados é o próximo passo. Utilize esses backups para restaurar os sistemas afetados. Certifique-se de que os backups não estejam infectados antes de iniciar o processo de restauração. Esta etapa pode ser demorada, mas é fundamental para recuperar a funcionalidade normal da empresa sem pagar o resgate.
Após a recuperação, é importante realizar uma análise detalhada do incidente. Identifique como o ransomware conseguiu penetrar nos sistemas e quais vulnerabilidades foram exploradas. Avalie a eficácia das medidas de resposta e identifique áreas para melhoria. Esta análise deve resultar em um relatório que documente o incidente e recomendações para fortalecer as defesas contra futuros ataques.
Comunicação e transparência
Durante e após um incidente de ransomware, a comunicação clara e transparente é muito importante. Mantenha os funcionários informados sobre o progresso da recuperação e as medidas tomadas para proteger os dados. Se necessário, comunique-se com os clientes e parceiros para garantir a transparência e manter a confiança.
Melhoria contínua
Utilize as lições aprendidas com o incidente para melhorar as defesas de segurança cibernética da empresa. Atualize políticas e procedimentos de segurança, implemente treinamentos adicionais para funcionários e considere investimentos em novas tecnologias de proteção. A segurança cibernética é um processo contínuo de adaptação e melhoria.
A persistência da ameaça
O cenário de ransomware mostrou sinais de desaceleração, de acordo com o relatório da Sophos, contudo isso é apenas uma pesquisa, com uma amostra específica, que certamente não representa de forma plena a realidade. Os grupos de ransomware estão se tornando mais sofisticados e ousados, visando setores cada vez mais críticos e exigindo resgates cada vez maiores. A luta contra essa ameaça exige vigilância contínua, investimento em tecnologias de segurança avançadas e uma cultura corporativa focada na resiliência cibernética.
Proteger uma empresa contra ransomware não é tarefa fácil, mas com as estratégias e defesas adequadas, é possível minimizar os riscos e garantir que, caso um ataque ocorra, os danos sejam contidos e a recuperação seja mais rápida.
A segurança cibernética é um investimento contínuo, mas os custos de negligenciar essa área podem ser catastróficos. Portanto, reforçar a defesa cibernética é uma necessidade urgente para todas as empresas nos dias de hoje.
This post is also available in: Português Español