A Sophos lançou o relatório anual "The State of Ransomware 2023", pesquisa independente realizada com 3 mil líderes de segurança cibernética/TI de empresas de 14 países das Américas, Europa, Oriente Médio, África e Ásia. Entre os achados, o levantamento revelou que criminosos tiveram sucesso ao criptografar dados em 76% dos ataques de ransomware contra organizações do mundo todo e em 73% no Brasil. Essa foi a maior taxa registrada desde que a Sophos começou a produzir o estudo, em 2020.
A pesquisa ainda mostrou que quando as empresas pagaram um resgate para descriptografar dados, acabaram quase dobrando os custos, chegando a US$ 750 mil em investimentos para tê-los de volta, versus os US$ 375 mil gastos por companhias que usaram backups para recuperar os arquivos. Além disso, o pagamento do resgate tomou um tempo maior de recuperação, visto que 45% das organizações globais que usaram backups levaram uma semana para reavê-los. Das que optaram por pagar o resgate, 39% levaram o mesmo tempo. No Brasil, 47% das empresas levaram o mesmo período de uma semana para se recuperar, enquanto 21% precisaram de um mês e 30% entre um e seis meses.
Ao todo, 66% das companhias pesquisadas sofreram ataques de ransomware globalmente – mesma porcentagem revelada no estudo de 2021. Isso sugere que a média de ataques permaneceu estável, independentemente de qualquer redução percebida nos números de casos. O cenário, entretanto, foi diferente no Brasil, em que 68% das organizações foram atingidas em 2022, um aumento considerável (quase 24%) em relação aos 55% relatados no levantamento do ano anterior.
Nesse contexto, o CTO de Pesquisa Aplicada da Sophos, Chester Wisniewski, faz um alerta sobre o crescimento das taxas de criptografia. "Os níveis de encriptação de dados voltaram a patamares altos após uma queda temporária durante a pandemia, o que é preocupante. Além disso, as equipes de ataques de ransomware têm refinado suas técnicas e acelerado métodos a fim de reduzir o tempo que os defensores têm para interceptar os golpes", comenta o executivo.
"Como visto no relatório, os custos dos incidentes aumentam significativamente quando as empresas pagam os resgates. A maioria das companhias vítimas não conseguirá reaver todos os arquivos simplesmente comprando senhas de criptografia – elas também precisam reconstruir e recuperar os backups. O pagamento do ransomware não apenas enriquece os criminosos, mas também retarda a resposta a incidentes e aumenta os gastos de uma situação que já é muito cara", comenta Wisniewski.
Ao analisar as principais causas dos ataques de ransomware, a mais comum foi a exploração de uma vulnerabilidade específica (visto em 36% dos casos globais e 48% dos casos brasileiros), seguida por credenciais comprometidas (que ocorreu em 29% dos casos gerais e em 19% dos casos no Brasil). Tal análise foi desenvolvida de acordo com as descobertas recentes do Active Adversary Report 2023, estudo de respostas a incidentes da Sophos para líderes empresariais.
Outras descobertas importantes do relatório são:
- Em 30% dos casos globais (32% no Brasil), os dados que foram criptografados também foram roubados, o que sugere que esse método "double dip" (criptografia e extração de dados) está se tornando comum;
- O setor de educação relatou o nível mais alto de incidentes de ransomware na análise geral, com 79% das organizações de ensino superior e 80% das instituições de ensino fundamental entrevistadas relatando que foram vítimas de ataques;
- Os backups continuam sendo o método mais comum usado para restaurar dados, mesmo tendo uma queda em relação ao último ano. Dos brasileiros entrevistados cujos dados foram criptografados, 61% usaram essa abordagem, sendo que na pesquisa de 2021 da Sophos esse número foi de 73%;
- 85% das companhias brasileiras do setor privado atingidas por ransomware afirmaram que o ataque causou uma perda de negócios/receita – dado mais alto que a média global de 84%;
- No total, 46% das empresas entrevistadas que tiveram dados criptografados pagaram o resgate – e as organizações maiores foram mais propensas a pagar. O estudo apontou que mais da metade das organizações com receita de US$ 500 milhões ou mais pagou o resgate, com a taxa mais alta relatada por aquelas com receita acima de US$ 5 bilhões. Tal resultado pode ser, em partes, causado pelo fato de que as empresas maiores têm maior probabilidade de ter uma apólice de seguro cibernético que cubra pagamentos de resgates.
Wisniewski também ressalta que dois terços das organizações relataram ter sido vítimas de criminosos de ransomware pelo segundo ano consecutivo e que, provavelmente, o mercado chegou a um platô.
"A chave para reduzir essa quantidade é trabalhar para diminuir consideravelmente o tempo de detecção e de resposta. A caça às ameaças conduzida por humanos é eficaz para deter criminosos, mas os alertas devem ser investigados e os atacantes devem ser expulsos dos sistemas em horas e dias, em vez de semanas ou meses. Analistas experientes podem reconhecer os padrões de uma invasão ativa em minutos e entrar em ação – e essa é provavelmente a diferença entre o terço que se mantém seguro e os dois terços que não se mantêm. As companhias precisam estar em alerta 24 horas por dia e sete dias por semana para montar uma defesa eficaz nos dias de hoje", disse o CTO.
"O último relatório da Sophos é um lembrete de que o ransomware continua sendo uma grande ameaça, tanto em escopo quanto em escala. Isso é particularmente real para organizações 'ricas em alvos e pobres em recursos', que não necessariamente têm ferramentas próprias para prevenção, resposta e recuperação de ataques", explica Megan Stifel, diretora executiva da Ransomware Task Force e chefe de estratégia oficial do Instituto de Segurança e Tecnologia.
"Uma maneira de aumentar a segurança, que está alinhada às descobertas da Sophos no relatório, é implementar o Ransomware Task Force's Blueprint for Ransomware Defense, uma estrutura de 48 proteções baseadas nos controles CIS IG1. Já passou da hora de os setores público e privado se unirem e lutarem coletivamente contra o ransomware, por isso, estamos entusiasmados em trabalhar com provedores de segurança cibernética como a Sophos", conclui a executiva.