Criptografia nos ataques de ransomware atinge nível mais elevado em 4 anos
The State of Ransomware 2023 da Sophos aponta que invasões a empresas brasileiras aumentaram quase 24% em 2022, comparado a 2021
10:13 | Mai. 11, 2023
A Sophos lançou o relatório anual “The State of Ransomware 2023”, pesquisa independente realizada com 3 mil líderes de segurança cibernética/TI de empresas de 14 países das Américas, Europa, Oriente Médio, África e Ásia.
O levantamento revelou que criminosos tiveram sucesso ao criptografar dados em 76% dos ataques de ransomware contra organizações do mundo todo e em 73% no Brasil. Essa foi a maior taxa registrada desde que a Sophos começou a produzir o estudo, em 2020.
A pesquisa ainda mostrou que quando as empresas pagaram um resgate para descriptografar dados, acabaram quase dobrando os custos, chegando a US$ 750 mil em investimentos para tê-los de volta, versus os US$ 375 mil gastos por companhias que usaram backups para recuperar os arquivos. Além disso, o pagamento do resgate tomou um tempo maior de recuperação, visto que 45% das organizações globais que usaram backups levaram uma semana para reavê-los.
Das que optaram por pagar o resgate, 39% levaram o mesmo tempo. No Brasil, 47% das empresas levaram o mesmo período de uma semana para se recuperar, enquanto 21% precisaram de um mês e 30% entre um e seis meses. Ao todo, 66% das companhias pesquisadas sofreram ataques de ransomware globalmente - mesma porcentagem revelada no estudo de 2021. Isso sugere que a média de ataques permaneceu estável, independentemente de qualquer redução percebida nos números de casos.
O cenário, entretanto, foi diferente no Brasil, em que 68% das organizações foram atingidas em 2022, um aumento considerável (quase 24%) em relação aos 55% relatados no levantamento do ano anterior.
Ao analisar as principais causas dos ataques de ransomware, a mais comum foi a exploração de uma vulnerabilidade específica (visto em 36% dos casos globais e 48% dos casos brasileiros), seguida por credenciais comprometidas (que ocorreu em 29% dos casos gerais e em 19% dos casos no Brasil). Tal análise foi desenvolvida de acordo com as descobertas recentes do Active Adversary Report 2023, estudo de respostas a incidentes da Sophos para líderes empresariais.
Outras descobertas importantes do relatório são:
Em 30% dos casos globais (32% no Brasil), os dados que foram criptografados também foram roubados, o que sugere que esse método "double dip" (criptografia e extração de dados) está se tornando comum;
O setor de educação relatou o nível mais alto de incidentes de ransomware na análise geral, com 79% das organizações de ensino superior e 80% das instituições de ensino fundamental entrevistadas relatando que foram vítimas de ataques;
Os backups continuam sendo o método mais comum usado para restaurar dados, mesmo tendo uma queda em relação ao último ano. Dos brasileiros entrevistados cujos dados foram criptografados, 61% usaram essa abordagem, sendo que na pesquisa de 2021 da Sophos esse número foi de 73%;
85% das companhias brasileiras do setor privado atingidas por ransomware afirmaram que o ataque causou uma perda de negócios/receita - dado mais alto que a média global de 84%;
No total, 46% das empresas entrevistadas que tiveram dados criptografados pagaram o resgate - e as organizações maiores foram mais propensas a pagar. O estudo apontou que mais da metade das organizações com receita de US$ 500 milhões ou mais pagou o resgate, com a taxa mais alta relatada por aquelas com receita acima de US$ 5 bilhões. Tal resultado pode ser, em partes, causado pelo fato de que as empresas maiores têm maior probabilidade de ter uma apólice de seguro cibernético que cubra pagamentos de resgates.
A Sophos recomenda algumas melhores práticas para ajudar companhias a identificar e conter ataques ransomware, ou outros formatos de golpes:
Fortalecer escudos com:
Ferramentas de segurança que protegem o sistema contra os principais ataques, incluindo proteção de endpoints com recursos anti-exploração para evitar a violação de vulnerabilidades, e Zero Trust Network Access (ZTNA) para impedir a exploração de credenciais comprometidas;
Tecnologias flexíveis que respondem automaticamente a ataques, interrompendo os invasores e dando mais tempo de reação aos defensores;
Detecção, investigação e resposta a ameaças 24 horas por dia, 7 dias por semana, sejam elas fornecidas internamente ou por um provedor especializado em detecção e resposta gerenciadas, como o MDR;
Otimizar a preparação em casos de ataques, o que inclui fazer backups regulares, praticar a recuperação de arquivos de backups e manter um plano atualizado de respostas a incidentes;
Manter uma boa rotina de segurança, incluindo a aplicação de patches em tempo hábil e a revisão regular das configurações de ferramentas de segurança.