A Sophos, divulgou nesta segunda-feira, 9, sua pesquisa anual The State of Ransomware 2022. O relatório mostra que 66% das organizações avaliadas em todo o mundo foram atingidas por ransomware em 2021, em comparação com os 37% registrados em 2020. De acordo com o estudo, o resgate médio pago pelas empresas que tiveram dados criptografados em ataques aumentou em quase cinco vezes, chegando a US$ 812.360. Além disso, 46% das companhias que tiveram dados encriptados pagaram o resgate para recuperá-los, apesar de terem outros meios de recuperação disponíveis, como backups.
Assim como edições anteriores do projeto, o relatório de 2022 da Sophos resume o impacto do ransomware em 5.600 organizações de médio porte em 31 países da Europa, Américas, Ásia-Pacífico e Ásia Central, Oriente Médio e África, com 965 casos detalhados de pagamentos de ransomware nessas localidades.
No caso do Brasil, que contou com a participação de 200 empresas, o desafio para combater ataques de ransomware continua crescendo. Os dados da pesquisa apontam que 55% das organizações brasileiras entrevistadas foram atingidas por algum ransomware em 2021, o que representa um aumento considerável em relação aos 38% que reportaram ataques em 2020. Além disso, 56% dos incidentes resultaram em dados criptografados. Este número, apesar de inferior à média global de 65%, teve um grande aumento em relação aos 36% relatados em 2020.
Além disso, o Brasil registrou outros dados interessantes, como o de que 73% das companhias declararam que o backup é o método mais utilizado para a restauração de dados após um ataque de ransomware – alinhado com a média global -, enquanto 40% optou por pagar o resgate. Ainda, 25 dos entrevistados que pagaram o resgate compartilharam o valor exato desembolsado, e a média bateu os US$ 211.790. Dessas que pagaram o resgate, houve recuperação de, em média, 55% dos dados.
“Ao passo que os pagamentos de ransomware crescem, a pesquisa da Sophos mostra que a proporção de organizações que pagam pelo resgate também continua a aumentar, mesmo quando elas têm outras opções disponíveis”, diz Chester Wisniewski, principal pesquisador da Sophos. “Pode haver diversas razões para isso, incluindo backups incompletos ou o desejo de impedir que dados roubados apareçam em um site de vazamento público. Após um ataque de ransomware, geralmente há uma pressão intensa para que a empresa volte a operar o mais rápido possível. Restaurar dados criptografados por meio de backups é um processo difícil e demorado, por isso, pagar pelo resgate por uma chave de descriptografia é a opção mais rápida – mas é também uma alternativa repleta de riscos. As companhias não sabem o que os invasores podem ter feito, como adicionar backdoors, copiar senhas, entre outros. Se as organizações não limparem completamente os dados recuperados, elas acabarão com todo esse material potencialmente tóxico na rede e expostas a um novo ataque”.
Outras conclusões globais da pesquisa The State of Ransomware 2022, que abrange incidentes de ransomware que ocorreram durante 2021, além de problemas relacionados a seguros cibernéticos, incluem:
• Os pagamentos de resgate são mais altos – Em 2021, 11% das organizações afirmaram que pagaram resgates de US$ 1 milhão ou mais, número superior aos 4% registrados em 2020, enquanto a porcentagem de empresas que pagam menos de US$ 10.000 caiu para 21% – de 34% em 2020;
• Mais vítimas estão pagando o resgate – Em 2021, 46% das companhias que tiveram dados criptografados em um ataque de ransomware pagaram o resgate. 26% das empresas que conseguiram restaurar dados criptografados usando backups em 2021 também pagaram o resgate;
• O impacto de um ataque de ransomware pode ser imenso – O custo médio para recuperação do ataque de ransomware mais recente em 2021 foi de US$ 1,4 milhão. Nesse caso, a organização demorou, em média, um mês para se recuperar dos danos e interrupções. 90% das empresas disseram que o ataque afetou a capacidade de operar e 86% das vítimas do setor privado afirmaram que perderam negócios e/ou receita por causa do ataque;
• Muitas organizações contam com o seguro cibernético para ajudá-las a se recuperar de um ataque de ransomware – 83% das companhias de médio porte tinham um seguro cibernético que as cobre no caso de um ataque de ransomware – e, em 98% dos incidentes, a seguradora pagou parte ou todos os custos inclusos (com 40% cobrindo o pagamento do resgate);
• 94% das organizações com seguro cibernético disseram que a experiência mudou nos últimos 12 meses, com demandas mais altas por medidas de segurança cibernética, políticas mais complexas ou caras e menos companhias oferecendo proteção de seguro.
“As descobertas mostram que atingimos um pico na jornada evolutiva do ransomware, no qual o interesse de invasores por pagamentos de resgate cada vez maiores vai de encontro ao endurecimento do mercado de seguros cibernéticos, à medida que as seguradoras buscam reduzir cada vez mais o risco e exposição ao ransomware”, explica Wisniewski. “Nos últimos anos, ficou mais fácil para os cibercriminosos implantarem ransomwares, com quase tudo disponível como serviço. Além disso, provedores de seguros cibernéticos hoje cobrem uma ampla gama de custos para a recuperação deste tipo de ataque, incluindo o resgate, o que pode contribuir para demandas cada vez maiores. Entretanto, os resultados apontam que o seguro cibernético está ficando mais robusto e, no futuro, as vítimas de ataques podem se tornar menos dispostas ou capazes de pagar resgates altíssimos. Infelizmente, é improvável que isso reduza o risco geral de uma invasão. Os ataques não são tão intensivos em recursos quanto outros incidentes cibernéticos mais artesanais, portanto, qualquer retorno vale a pena e os cibercriminosos continuarão a perseguir os alvos mais suscetíveis”, completa o executivo.
A Sophos recomenda as seguintes práticas para ajudar na defesa contra ransomware e ataques cibernéticos relacionados:
• Instalação e manutenção de defesas de alta qualidade em todos os pontos da organização. Além disso, é fundamental revisar os controles de segurança regularmente e certificar-se de que eles continuem atendendo às necessidades da companhia;
• Procura proativa por ameaças para identificar e parar os adversários antes que eles possam executar o ataque – se a equipe não tiver tempo ou habilidades para fazer isso internamente, é recomendado terceirizar para um especialista em Detecção e Resposta Gerenciada (MDR);
• Fortalecimento do ambiente de TI para buscar e fechar as principais lacunas de segurança: dispositivos desatualizados, máquinas desprotegidas, portas RDP abertas, etc. As soluções Extended Detection and Response (XDR) são ideais para essa finalidade;
• Preparação para o pior. É essencial saber o que fazer caso aconteça um incidente cibernético e manter o plano sempre atualizado;
• Realização de backups e práticas de restauração para que a organização possa voltar a funcionar o mais rápido possível, com o mínimo de interrupção.
