O ransomware é uma forma especial de cibercrime. A palavra diz tudo: tomada de reféns. O inquérito de referência sobre cibersegurança realizado pela Conscia em colaboração com a empresa de estudos de mercado comercial The Blue Hour mostra que o ransomware é considerado a maior ameaça (82%).

Entretanto, vários estudos sobre ransomware apresentam os números para 2021. Conclusão: o montante do resgate pedido continua a aumentar, tal como os pagamentos efectuados. Significa isto que as organizações estão à mercê dos "gangs" de ransomware? Certamente que não! Mesmo que não os vejamos, muitas informações valiosas são recolhidas e partilhadas coletivamente sobre as tácticas e técnicas utilizadas por estes "gangs".

Por exemplo, sabemos que 35 novos "gangs" de ransomeware foram adicionados em 2021[1]. [1] Alguns grupos dão ouvidos a nomes enganadores como Hello Kitty e Robinhood. Em suma, são grupos de criminosos que encontraram no ransomware um negócio lucrativo. De facto, o "sucesso" é tão grande que o ransomware como serviço (RaaS) está a ser oferecido por criminosos a criminosos. Prevê-se que as suas actividades só aumentem nos próximos anos.

Factos e números em resumo

Este crescimento já era visível no ano passado. O número de vítimas aumentou em 85%, sendo as Américas o maior alvo com 60%. Seguem-se a EMEA com 311PT3T e a Ásia-Pacífico com 91PT3T. O montante do resgate pedido também aumentou em 144% para 2,2 milhões de dólares. O montante finalmente pago rondou, em média, os 500 000 dólares; mais 78% do que em 2020. [1] Das organizações afectadas por ransomware, 58% procedem ao pagamento. 14% pagam mais do que uma vez. 41% recuperaram do ataque no prazo de um mês, 61% no prazo de três meses.

De acordo com Maarten Werff, Consultor de Soluções de Cibersegurança da Conscia, o facto de serem muitas vezes pagos é um alerta. "Está a tornar-se uma indústria cada vez mais madura e muitas vezes realizam um duplo ataque. Primeiro, encriptam os dados para que fiquem indisponíveis. Se o pagamento não for efectuado com a rapidez necessária, os dados roubados são revelados, nomeadamente os dados pessoais. O impacto comercial não é apenas a paralisação da organização, mas também danos à imagem".

Desvendamento do método

A estrutura de um ataque de ransomware é frequentemente a mesma. Depois de entrarem, normalmente através de um ataque de phishing, permanecem em silêncio durante algum tempo antes de se moverem para os lados. Não é de surpreender que a maioria (67%) dos inquiridos no inquérito de referência diga que não sabe quantos dias são necessários para que um ataque seja detectado. Os atacantes têm todo o interesse em manter-se no jogo o mais tempo possível, para roubar o máximo possível.

Uma vez revelado, é muitas vezes claro com que "gang" se está a lidar. Normalmente, a organização criminosa tem um serviço de apoio (estranho mas verdadeiro!). No entanto, essa não é a única coisa através da qual a identidade do grupo de ransomware é revelada. A nível mundial, são partilhados conhecimentos e informações sobre estes "gangs", sobre as tácticas e técnicas que utilizam. A Conscia também partilha este conhecimento através do quadro MITRE ATT&CK. O conhecimento faz o poder e garante que as organizações atacadas possam resistir, mesmo que os criminosos já estejam lá dentro. Embora as organizações geralmente não tornem público que pagaram (por medo de mais ataques e danos à reputação), isso pode ajudar a combater o cibercrime. De acordo com Werff, há certamente casos em que isso foi feito. "Muito corajoso e muito instrutivo para outros especialistas!"

Defesa em profundidade

A proteção 100% contra o malware relacionado com o Ransomware não é realista, razão pela qual recomendamos a adoção de uma abordagem de "defesa em profundidade". Isto significa aplicar uma segurança em camadas a partir de diferentes ângulos, desde a implementação de medidas técnicas até à criação de políticas e procedimentos. Ao adotar esta abordagem, tem mais hipóteses de detetar e impedir o malware antes que este cause danos à sua organização.

O ponto de partida da abordagem de defesa em profundidade é "assumir a violação", em que se assume que qualquer O mecanismo de segurança acaba por ser violado. Mas em vez de desistir, pode tomar medidas para atenuar o impacto desta situação, aplicando uma deteção forte que lhe permita acelerar o tempo de resposta a incidentes. No entanto, estas medidas de deteção e resposta exigem conhecimentos, tempo e experiência do pessoal de TI/Segurança. É por isso que muitas organizações subcontratam (parcialmente) estas actividades de deteção e resposta a um fornecedor de segurança gerido. Desta forma, a equipa de segurança de TI pode concentrar-se no reforço da ciber-resiliência e garantir um melhor alinhamento com os objectivos da organização. É importante lembrar que a cibersegurança é um processo contínuo que precisa de ser constantemente avaliado e adaptado para acompanhar o cenário de ameaças em constante mudança.

Fonte: Conscia