0
0
Resgate ainda é uma pequena parte do custo total de um ataque de ransomware, mas os custos associados estão aumentando
Jaikumar Vijayan, CSO (EUA)
Poucas organizações acabam pagando US$ 67 milhões em custos relacionados a ransomware, como a United Health Services (UHS) fez no ano passado após um ataque em setembro de 2020 que paralisou sua rede. A organização é, no entanto, um exemplo do tributo financeiro cada vez mais pesado que esses atacantes passaram a cobrar das vítimas nos últimos dois anos.
Especialistas em segurança que têm seguido a tendência apontam vários fatores como responsáveis pelo aumento dos custos associados a ataques de ransomware, especialmente para organizações no setor de saúde. Um dos mais óbvios é um aumento na média de resgates que os invasores têm exigido das vítimas.
Uma análise dos dados de sinistros de segurados pela empresa de seguros cibernéticos Coalition no ano passado mostrou que a demanda média de resgate saltou 47% de pouco mais de US$ 230.000, no primeiro trimestre de 2020, para US$ 338.669, no segundo trimestre de 2020. Alguns, como os operadores do tipo de ransomware Maze, atingiram vítimas com uma demanda média de resgate de US$ 420.000. Um estudo da Coveware descobriu que os pagamentos reais de ransomware também dispararam – de pouco mais de US$ 84.000, no quarto trimestre de 2019, para mais de US$ 233.817, no terceiro trimestre de 2020.
No entanto, o resgate em si é apenas parte do custo total e muitas vezes não é um fator para as organizações que se recusam a ceder às tentativas de extorsão. Mesmo para essas organizações, o custo dos ataques tem aumentado constantemente nos últimos dois anos. Aqui, de acordo com especialistas em segurança, estão cinco dos motivos mais comuns para isso.CIO2503
Custos de tempo de inatividade
O tempo de inatividade surgiu como um dos maiores – senão o maior – custos associados a um ataque de ransomware. As vítimas de ransomware muitas vezes podem levar dias e às vezes até semanas para restaurar os sistemas após um ataque de ransomware. Durante esse tempo, os serviços normais podem ser seriamente interrompidos, resultando em perda de negócios, perda de custo de oportunidade, perda da boa vontade do cliente, quebra de SLAs, erosão da marca e uma série de outros problemas. A maior parte dos custos do UHS, por exemplo, estava atrelada à perda de receita devido à sua incapacidade de fornecer serviços de atendimento ao paciente como de costume e atrasos no faturamento.
Esses problemas podem ficar ainda piores. Nos últimos meses, os adversários começaram a mirar nas redes de tecnologia operacional para maximizar o tempo de inatividade das vítimas e aumentar a pressão para que paguem. Um exemplo é um ataque no início deste ano à gigante de embalagens WestRock Company, que afetou as operações em algumas das fábricas e unidades de conversão da empresa. Um ataque semelhante à Honda em 2020 interrompeu temporariamente as operações em algumas das fábricas da montadora fora do Japão.
Dois terços dos entrevistados em uma pesquisa, com quase 2.700 profissionais de TI, que a Veritas encomendou no ano passado, estimaram que suas organizações levariam pelo menos cinco dias para se recuperar de um ataque de ransomware. Outro relatório da Coveware apontou o tempo médio de inatividade substancialmente mais alto, em uma média de 21 dias no quarto trimestre de 2020.
Ryan Weeks, CISO da Datto, diz que uma pesquisa que a empresa fez no ano passado mostrou que o custo médio do tempo de inatividade relacionado a um ataque de ransomware em 2020 foi surpreendentemente 93% maior do que há apenas um ano. “O tempo de inatividade costuma ser imensamente mais caro do que o resgate em si”, diz ele. “A taxa na qual o custo do tempo de inatividade está aumentando realmente coloca a epidemia de ransomware em perspectiva”.
Os dados da empresa mostraram que o tempo médio de inatividade de um ataque de ransomware pode custar mais de US$ 274.200 – ou muito mais do que a demanda média de resgate. Isso pode tornar tentador para as organizações simplesmente aceitar as demandas dos invasores, diz Weeks. “Por exemplo, em 2018, a cidade de Atlanta, Geórgia, foi atingida por um ataque de ransomware que custou à cidade mais de US$ 17 milhões para se recuperar. No entanto, o pagamento do resgate em si foi de apenas US$ 51.000”, diz ele.
Esses números apontam para a necessidade de as organizações terem uma estratégia de resiliência cibernética e um plano de continuidade de negócios bem considerados, diz Weeks. Ao considerar um plano de continuidade de negócios, as organizações precisam pensar em questões como o objetivo do tempo de recuperação (RTO) – a duração máxima de tempo dentro do qual as operações de negócios devem ser restauradas – e o objetivo do ponto de recuperação (RPO) – o quanto eles precisam voltar no tempo para recuperar os dados que ainda estão em formato utilizável. “Calcular o RTO ajuda a determinar o tempo máximo que sua empresa pode pagar para operar sem acesso aos dados antes de estar em risco. Como alternativa, ao especificar o RPO, você sabe com que frequência precisa realizar backups de dados”, diz ele.
Custos associados à extorsão dupla
Em um desenvolvimento especialmente problemático, os operadores de ransomware começaram a roubar grandes volumes de dados confidenciais de organizações antes de bloquear seus sistemas e, em seguida, usar os dados roubados como alavanca adicional para extrair um resgate. Quando as organizações se recusam a pagar, os invasores vazam os dados por meio de sites obscuros configurados para esse fim.
Um estudo que Nikkei, do Japão, conduziu em colaboração com a Trend Micro descobriu que mais de 1.000 organizações em todo o mundo foram vítimas desse tipo de ataque de dupla extorsão apenas nos primeiros 10 meses de 2020. Acredita-se que a prática tenha começado com os operadores da família de ransomware Maze, mas foi rapidamente adotada por vários grupos, incluindo os operadores das famílias de ransomware Sodinokibi, Nemty, Doppelpaymer, Ryuk e Egregor. Sete em cada dez dos incidentes de ransomware aos quais a Coveware respondeu no último trimestre envolveram roubo de dados.
“O fato de que muitos grupos de ransomware agora roubam dados antes de criptografá-los aumenta o risco de vazamento de dados”, disse Candid Wuest, Vice-Presidente de Pesquisa de Proteção Cibernética da Acronis. “Isso significa que todos os custos relacionados, como danos à marca, taxas legais, multas regulatórias e serviços de limpeza de violação de dados são mais prováveis de serem necessários, ainda que os sistemas tenham sido restaurados sem nenhum grande tempo de inatividade”.
A tendência mudou a matemática tradicional associada a ataques de ransomware. As vítimas de ransomware – mesmo aquelas com o melhor processo de backup e recuperação de dados – agora devem enfrentar a possibilidade real de seus dados confidenciais vazarem publicamente ou serem vendidos a rivais. Como resultado, as vítimas de ataques de ransomware provavelmente terão que arcar com o impacto das penalidades financeiras dos órgãos reguladores, diz Xue Yin Peh, Analista Sênior de Inteligência Contra Ameaças Cibernéticas da Digital Shadows. A publicação e exposição de dados roubados das vítimas pode constituir uma violação de regulamentos como o GDPR da União Europeia, CCPA da Califórnia e HIPAA.
“As vítimas também podem enfrentar consequências legais na forma de reclamações de terceiros ou ações coletivas”, observa Peh. O potencial para esse tipo de problema aumenta quando os dados roubados e publicados por invasores envolvem outras organizações, como arquivos de dados de terceiros ou dados de clientes. “Se os dados do consumidor fossem expostos, uma empresa poderia esperar custos em torno da notificação de violação e, também, os prêmios de seguro cibernético poderiam aumentar como resultado de um ataque de ransomware”.
Custos de atualização de TI
Imediatamente após um ataque de ransomware, as organizações podem, às vezes, subestimar os custos envolvidos não apenas em responder ao incidente, mas também em proteger a rede de novos ataques. Isso é especialmente verdadeiro em situações em que uma organização pode presumir que a melhor opção é pagar os invasores.
“Em um cenário em que o pagamento de um resgate garante a liberação de máquinas infectadas, as vítimas não têm garantia de que os invasores não terão mais acesso à sua empresa”, disse Migo Kedem, Chefe do SentinelLabs do SentinelOne. Eles não têm garantia de que os invasores não implantaram mais malware em seus sistemas ou que não venderam ou transferiram seu acesso ilícito para outro grupo criminoso. Não há garantia de que, uma vez pago, os invasores desinfetarão as máquinas, excluirão os dados roubados ou abrirão mão do acesso à rede da vítima.
Para mitigar ataques futuros, as organizações frequentemente devem atualizar sua infraestrutura e implementar controles melhores. “Os custos ocultos que as vítimas não levam em consideração são a resposta a incidentes e os custos de atualização de TI necessários para proteger a rede de novos ataques”, diz Kedem.
Aumento dos custos com o pagamento de um resgate
Muitas empresas pagam um resgate presumindo que seja mais barato do que restaurar os dados do zero. Isso é um erro, dizem os especialistas em segurança. Uma pesquisa realizada pela Sophos no ano passado mostrou que mais de um quarto (26%) das vítimas de ransomware pagou ao seu invasor um resgate para obter os dados de volta. Outro 1% pagou um resgate também, mas não recebeu seus dados de volta de qualquer maneira.
O que a Sophos descobriu foi que aqueles que pagaram um resgate acabaram pagando o dobro dos custos totais relacionados ao ataque em comparação com aqueles que não pagaram. O custo médio de um ataque de ransomware – incluindo tempo de inatividade, reparo de dispositivo e rede e custos de recuperação, tempo de pessoal, custo de oportunidade e resgate pago – para empresas que pagaram o resgate foi de cerca de US$ 1,4 milhão, em comparação com cerca de US$ 733.000 para os não pagantes.
O motivo é que as vítimas ainda precisam trabalhar muito para restaurar os dados, descobriu a Sophos. De acordo com a empresa, os custos associados à recuperação de dados e ao retorno à normalidade são praticamente os mesmos, independentemente de uma organização recuperar dados do backup ou com uma chave de descriptografia fornecida pelo invasor. Portanto, pagar um resgate só aumenta esses custos.
Custo de danos à reputação
Os ataques de ransomware podem corroer a confiança do consumidor e resultar na perda de clientes e negócios por uma organização. Uma pesquisa com quase 2.000 consumidores dos EUA, Reino Unido e outros países que a Arcserve conduziu no ano passado mostrou 28% dizendo que levariam seus negócios para outro lugar se experimentassem pelo menos uma única interrupção do serviço ou experiência em que seus dados estivessem inacessíveis. Mais de nove em cada dez (93%) disseram que consideravam a confiabilidade de uma organização antes de comprar e 59% disseram que evitariam fazer negócios com uma empresa que sofreu um ataque cibernético nos últimos 12 meses.
O recente surgimento de um grupo que se autodenomina Distributed Denial of Secrets [Negação Distribuída de Segredos] poderá em breve tornar mais difícil para as organizações minimizar as violações de dados. O grupo, que se modelou nos moldes do WikiLeaks, afirma ter coletado muitos dados que os atacantes de ransomware vazaram on-line e disse que publicará os dados publicamente em nome da transparência. O grupo já publicou dados pertencentes a várias empresas que afirma ter obtido de sites e fóruns usados por operadores de ransomware para vazar dados roubados.
FONTE: CIO