Os ransomwares são uma das ameaças cibernéticas mais comuns para pequenas e médias empresas. Mesmo com a conscientização acerca dos danos que podem ser causados por ransomwares, os cibercriminosos responsáveis por esses ataques se mostram persistentes em tentar descobrir qualquer fraqueza em suas defesas. Ataques contra bancos de dados, servidores web e smartphones vêm aumentando.
Que respostas podem ser encontradas nesse artigo?
- Potencial de prejuízo dos ransomwares podem custar à sua empresa
- Como as técnicas de ransomwares evoluíram ao longo do tempo
- Os danos comumente causados por ataques de ransomwares
- Quais são as possíveis ações para um administrador de TI evitar ataques de ransomwares
Mesmo que já tenha havido uma melhora na sua proteção de dados, pode ser necessário à sua empresa empregar outras medidas de segurança para lidar com novas variantes de ransomwares, que realizam tentativas de ataque diariamente. Uma em cada cinco PMEs foi vítima de ataque de ransomwares em 2019, e novos tipos de ataques também ocorreram durante a crise de COVID-19. Segundo o relatório da Cybersecurity Ventures sobre os custos globais com danos causados por ransomwares, os ataques desse tipo atingiram as empresas uma vez a cada 11 segundos em 2020.
Mesmo quando conseguimos proteger os dispositivos contra esses ataques, ainda há a possibilidade de perder a batalha para outros vetores, como vulnerabilidades não corrigidas, que podem ser exploradas por malware. Um Remote Desktop Protocol (RDP) mal protegido, muitos serviços on-line abertos ao mesmo tempo, sistemas operacionais sem patches ou versões desatualizadas de soluções de segurança – todos são fatores de risco que devem ser tratados o quanto antes.
As empresas costumam usar soluções de segurança desatualizadas, o que pode levá-las a perder algumas das principais camadas de proteção, necessárias para a defesa contra gangues de ransomwares.
Para tomar todas as medidas necessárias e possíveis, a escolha deve ser por uma solução potente na privacidade que ofereça proteção em múltiplas camadas. Além disso, soluções efetivas de segurança de TI exigem investimentos. Se você ainda não conseguiu convencer a sua gerência a aumentar o orçamento de segurança de TI, aqui estão alguns motivos para se preocupar, seriamente, com os ransomwares. Sinta-se livre para compartilhá-los com seus superiores.
O custo dos ransomwares está aumentando
Nas notícias, vemos exemplos de ataques de ransomwares quase diariamente. Esses ataques costumam não ter nenhuma ética e humanidade, o que ficou particularmente evidente nos casos de hospitais que ficaram paralisados por semanas, por conta de ataques de ransomwares, durante a pandemia de COVID-19.
Nos últimos dois anos, os custos com danos causados por ransomwares tiveram um aumento drástico. Em 2017, o ransomware WannaCry conseguiu infectar mais de 200 mil dispositivos em todo o mundo. Outro grande surto foi conduzido poucas semanas depois, pelo grupo TeleBots, que lançou um malware de limpeza de dados semelhante a um ransomware chamado NotPetya. Esse teve início na Ucrânia, atingindo grandes bancos, serviços públicos e de telecomunicações, mas também se espalhou pelas redes de corporações globais, destruindo dados de forma irreparável. Nesse caso, nem mesmo o pagamento do resgate funcionou, devido a uma falha no mecanismo de decodificação. Até hoje, o NotPetya é retratado como o ataque cibernético mais destrutivo da história, causando danos em mais de 10 bilhões de dólares.
O formato mais disseminado de ransomwares – o cryptoransomware – criptografa arquivos de usuários armazenados em disco e compartilhamentos de rede. É importante salientar que nenhuma empresa é pequena demais para esse tipo de ataque cibernético. Uma pesquisa com mais de 500 executivos de C-level de PMEs, realizada pela Infrascale, descobriu que 46% dos entrevistados já haviam sido atingidos por ataques de ransomwares. Entre eles, 73% admitiu ter pago o resgate para a recuperação dos dados.
Resumindo, os ransomwares causam grandes danos às economias e empresas. Outro episódio – o caso da administração de Baltimore, que foi atingida por ransomwares – terminou com o pagamento de 10 milhões de dólares pela recuperação de dados por parte da vítima, totalizando mais 8 milhões em perda de receita.
Municípios, universidades, aeroportos e hospitais são, frequentemente, atingidos por ransomwares por serem alvos fáceis, muitas vezes utilizando sistemas vulneráveis e mal configurados. As quantias solicitadas nesses casos costumam ficar na casa das centenas de milhares ou mesmo milhões de libras.
Além disso, há uma parte encoberta de empresas que não denunciam os ataques de ransomwares, na tentativa de evitar futuras penalidades por parte das autoridades e possíveis danos à sua reputação. Outro motivo é, muitas vezes, não estarem dispostas a admitir suas falhas de segurança. Infelizmente, para essas empresas, as gangues de ransomwares costumam publicar os nomes de suas vítimas, vazando seus dados até mesmo por meio de sites da dark web. Isso acaba coagindo a maioria das empresas a reconhecerem o incidente e negociarem com os invasores. Com ransomwares, assim como com qualquer outro malware, a prevenção é a melhor defesa – e também um das principais exigências por parte das autoridades.
É crescente a agressividade dos invasores
Quais foram as mudanças nos métodos dos invasores nos últimos anos? Os cibercriminosos já implementaram algumas inovações.
Antes de as organizações se tornarem um alvo de ransomwares, os hackers utilizavam e-mails de spam como o seu principal canal de disseminação, atingindo as caixas de entrada com campanhas em massa. Caso houvesse comprometimento das vítimas, em geral, elas eram solicitadas a pagar algumas centenas de dólares para ter seus dados descriptografados – o que, algumas vezes, não se cumpria.
No entanto, esse “modelo de negócios” não trouxe um grande retorno e foi necessário que os investidores alterassem a estratégia. Atualmente, essas gangues com alto nível de organização visam, principalmente, serviços mal configurados e o acesso remoto de suas vítimas. Os criminosos também passaram a negociar resgates de forma individual, em que cada empresa é solicitada a pagar um preço diferente. Para aumentar a eficácia de propagação, essas gangues também começaram a utilizar botnets, que oferecem um método de envio melhor para seus arquivos maliciosos.
As notas de resgate também mudaram. Antes, traziam uma mensagem curta, contendo algumas informações gerais, e instruindo ao pagamento de 300 libras a uma carteira de bitcoin. Agora, os invasores deixam um simples arquivo de texto no dispositivo, que leva à página de destino ou endereço de e-mail, em que o valor da descodificação deve ser negociado. Para manter o anonimato dos seus operadores, a maior parte dessas páginas de destino está disponível apenas na dark web.
Outra grande tendência apareceu em novembro de 2019, quando a gangue de ransomwares Maze começou aplicar doxing em suas vítimas, em vez de apenas criptografar seus dados. Doxing é uma técnica com a qual os criminosos roubam informações confidenciais e ameaçam a sua publicação. É uma técnica vantajosa para os invasores, pois as possíveis multas sob a legislação de proteção de dados, como a GDPR, podem ser grandes, sem mencionar os danos à reputação ou o possível vazamento de know-how.
Sem surpresas, uma vez que essa técnica demostrou bastante eficácia, muitas outras gangues de ransomwares seguiram o exemplo e passaram a utilizá-la.
As perdas causadas por ransomwares podem destruir a sua empresa
O preço dos ransomwares não termina com o pagamento do resgate. Surgem, também, os custos adicionais, à medida que a empresa afetada sofre uma perda de produtividade comercial, ou um tempo de inatividade, que ameaça os negócios. A consequente interrupção e as perdas financeiras podem ser debilitantes para a uma empresa.
Após o ataque dos ransomwares, a reconstrução dos sistemas de TI e a recuperação do nome da marca podem ser bastante difíceis. Mesmo gastando milhares de libras e centenas de horas longas de trabalho de remediação, há a possibilidade de que as perdas não sejam recuperadas. Todos os seus projetos ficam pausados até que seja possível proteger os sistemas e acessar os arquivos necessários novamente.
Uma nova tendência, que torna os incidentes de ransomwares ainda mais perigosos, é a combinação entre criptografia e exfiltração de dados. Os invasores não apenas criptografam e, portanto, negam o acesso a protótipos, patentes ou pesquisas de sua empresa, por exemplo, mas também podem exfiltrar e vender essas informações em mercados da dark web. Ademais, além do comprometimento dos seus dados, sua organização pode ser multada pela falta de proteção aos dados confidenciais de seus funcionários e clientes.
Quanto à escala desse “negócio” desagradável: em uma entrevista para o OSINT, um blog de tecnologia russo, os desenvolvedores do ransomware Sodinokibi afirmaram terem faturado mais de 100 milhões de dólares em um ano. Os operadores do ransomware Ryuk tiveram ainda mais lucro. Estima-se que, com empresas de todo o mundo seguindo as instruções e pagando o resgate, a gangue Ryuk recebeu cerca de 150 milhões de dólares em bitcoins.