Recuperar de ataques de ransomware custa mais de 1,5 milhões de euros

A Sophos anunciou as conclusões da sua investigação global “The State of Ransomware 2021”, que revela que, em média, o custo total da recuperação de um ataque de ransomware mais do que duplicou em apenas um ano – aumentando de 630.969 euros em 2020 para 1,53 milhões de dólares em 2021. O pagamento médio de um resgate, por si só, situa-se nos 141.267 dólares.

As conclusões globais também revelam que apenas 8% das empresas conseguiram recuperar todos os seus dados após pagarem um resgate, e 29% apenas puderam recuperar metade deles.

O inquérito da Sophos foi realizado junto de 5.400 decisores de TI em organizações de média dimensão em 30 países de toda a Europa, Américas, Ásia-Pacífico e Ásia Central, Médio Oriente e África.

Apesar de o número de organizações que sofreram um ataque de ransomware ter diminuído, de 51% em 2020 para 37% em 2021, e de menos organizações terem sofrido encriptação dos seus dados como resultado de um ataque significativo (de 73% em 2020 para 54% em 2021), os resultados da nova investigação revelam tendências preocupantes em ascensão, particularmente no que toca ao impacto de um ataque de ransomware.

“O aparente declínio no número de organizações atingidas por ransomware é uma boa notícia, mas é contrabalançado pelo facto de parecer demonstrar, pelo menos em parte, mudanças no comportamento dos atacantes”, afirmou Chester Wisniewski, Principal Research Scientist da Sophos. “Vimos que os cibercriminosos passaram de ataques em larga escala, genéricos e automatizados, para ataques mais dirigidos que incluem hacking realizado por humanos. Ainda que o número global de ataques seja, em resultado, inferior, a nossa experiência diz-nos que os danos potenciais destes ataques dirigidos, mais avançados e complexos, são muito superiores. É mais difícil recuperar destes ataques, e essa realidade foi refletida no nosso estudo: os custos totais de recuperação duplicaram”.

As principais conclusões da pesquisa global The State of Ransomware 2021 incluem:

• O custo médio de recuperação de um ataque de ransomware mais do que duplicou nos últimos 12 meses. Os custos de recuperação, incluindo tempo de inatividade, pedidos perdidos, custos operacionais e outros, aumentaram de uma média de 630.969 euros em 2020 para 1.53 milhões de euros em 2021. Isto significa que o custo médio de recuperação de um ataque de ransomware é agora, e em média, 10 vezes superior ao pagamento do resgate por si só;
• Em média, os resgates pagos situam-se nos 414.267 euros. O pagamento mais elevado entre os inquiridos foi de 2.7 milhões de euros e o mais comum de 8.300 euros. Dez organizações pagaram resgates de cerca de 800 mil euros ou superiores;
• O número de organizações que pagaram o resgate aumentou de 26% em 2020 para 32% em 2021, apesar de menos de uma em cada 10 (8%) terem conseguido recuperar todos os seus dados;

• Mais de metade (54%) dos inquiridos acredita que os ciberataques são agora demasiado avançados para que a sua equipa de TI possa enfrentá-los sem ajuda;

• A extorsão sem encriptação está a aumentar. Uma pequena, mas significativa parte dos inquiridos (7%) afirmou que os seus dados não tinham sido encriptados, mas tinham ficado reféns de qualquer forma, possivelmente porque os atacantes tinham conseguido roubar a sua informação. Em 2020, este número era de 3%.

“As conclusões confirmam a dura verdade de que, no que toca ao ransomware, pagar não compensa. Ainda que mais organizações tenham optado por pagar um resgate, apenas uma ínfima minoria delas conseguiu recuperar todos os seus dados”, continuou Wisniewski. “Isto pode dever-se, em parte, ao facto de que pode ser complicado utilizar chaves de desencriptação. Mais do que isso: não há garantia de sucesso. Por exemplo, e tal como vimos recentemente com os ransomwares DearCry e Black Kingdom, os ataques lançados com código e técnicas de baixa qualidade ou rapidamente compilados podem tornar a recuperação de dados difícil, se não impossível”.

“Recuperar de um ataque de ransomware pode levar anos e tem a ver com muito mais do que apenas desencriptar e recuperar os dados”, comentou Wisniewski.“Sistemas inteiros necessitam de ser reconstruídos do zero e é necessário considerar também o tempo de inatividade e o impacto nos clientes, e muitos outros fatores. Para além disso, a definição daquilo que constitui um ataque de ‘ransomware’ está a evoluir. Para uma pequena, mas significativa minoria dos inquiridos, os ataques envolveram exigências de pagamento sem encriptação dos dados. Isto pode dever-se ao facto de contarem com tecnologias anti ransomware que bloquearam a fase de encriptação, ou porque os atacantes simplesmente escolheram não encriptar os dados. É provável que os atacantes estivessem a exigir pagamento em troca de não divulgarem a informação online. Um exemplo recente desta abordagem envolveu o gang de ransomware Clop e uma conhecida ameaça motivada por questões financeiras, que atingiu cerca de uma dúzia de alegadas vítimas com ataques apenas de extorsão. Em resumo, é mais importante do que nunca que nos protejamos dos adversários à nossa porta, antes que tenham a oportunidade de nos invadir e lançar os seus ataques cada vez mais multifacetados. Felizmente, se as organizações forem atacadas não têm de enfrentar este desafio sozinhas. O apoio está disponível 24/7 sob a forma de centros de operações de segurança externos, threat hunting realizado por humanos e serviços de resposta a incidentes”.

A Sophos recomenda seguir estas seis melhores práticas para se defender de ransomware e ciberataques relacionados:

1. Assuma que vai ser atingido. O ransomware continua a prevalecer e nenhum setor, país ou organização está imune ao risco. É melhor estar preparado e não ser atingido do que o contrário.
2. Faça cópias de segurança e mantenha uma cópia offline. As cópias de segurança são o principal método utilizado pelas organizações inquiridas para recuperar os seus dados após um ataque. Opte pelo padrão da indústria de 3:2:1 (três cópias diferentes, utilizando dois meios diferentes, uma das quais é mantida offline).
3. Implemente segurança em camadas. Uma vez que cada vez mais ataques de ransomware também envolvem extorsão, é mais importante do que nunca não deixar os adversários entrar, para começar. Utilize segurança em camadas para bloquear os atacantes em tantos pontos da organização quanto seja possível.
4. Combine especialistas humanos e tecnologia anti ransomware. O segredo para deter o ransomware é uma defesa em profundade que combine tecnologia anti ransomware dedicada e threat hunting levado a cabo por humanos. A tecnologia proporciona a escala e a automação de que as organizações necessitam, e os especialistas humanos são quem melhor pode detetar táticas, técnicas e procedimentos reveladores e que indicam que um atacante está a tentar invadir a organização. Se não conta com estas capacidades na sua equipa, informe-se sobre como conseguir o suporte de uma empresa especializada em cibersegurança – os Centros de Operações de Segurança (SOCs, na sua sigla em inglês) são agora opções plausíveis para organizações de todas as dimensões.
5. Não pague o resgate. É fácil de dizer, mas menos fácil de fazer quando uma organização fica completamente parada devido a um ataque de ransomware. Independentemente de quaisquer considerações éticas, pagar o resgate não é uma forma eficaz de recuperar os dados. Se decidir pagar, lembre-se de que os adversários vão devolver, em média, apenas dois terços dos seus ficheiros.
6. Tenha um plano de recuperação de malware. A melhor forma de deter um ciberataque antes que se transforme numa violação completa é estar preparado de antemão. As organizações atingidas por um ataque muitas vezes percebem que poderiam ter evitado perdas financeiras e disrupções significativas caso tivessem preparado antes um plano de resposta.