0
0
A Check Point Research decidiu “olhar por trás das cortinas” da economia de ransomware para descobrir a situação do ponto de vista dos grupos de criminosos cibernéticos e das vítimas (as organizações).
Nos últimos anos, os ataques de ransomware evoluíram para se tornar o tipo de ciberataque mais disruptivo que as organizações têm enfrentado. Além de interromper os processos diários das organizações e potencialmente causar uma interrupção nos negócios, o ransomware pode ter um grande impacto financeiro. Em sua forma mais visível, isso significa o próprio pagamento do resgate exigido pelos grupos criminosos, o qual pode chegar a milhões de dólares.
Nesta pesquisa da CPR foram examinados os custos ocultos adicionais causados durante e após o ataque de ransomware. As perdas de longo prazo que as vítimas sofrem após o ataque são muito mais significativas do que a maioria poderia supor. A CPR monitorou um aumento de 24% nos ataques de ransomware ano a ano para organizações em todo o mundo. A média semanal de organizações impactadas globalmente é de uma em cada 53, contra uma em cada 66 no mesmo período de 2021.
A seguir, os pesquisadores da CPR compartilharam os novos insights sobre a economia de ransomware depois de terem analisado mais detalhadamente os vazamentos do grupo Conti e diferentes conjuntos de dados relacionados às vítimas de ransomware. O resgate pago é um pequeno componente do custo real de um ataque de ransomware para a vítima, pois a CPR estima que o custo total seja sete vezes maior que o valor do pagamento.
O primeiro conjunto pesquisado foi o banco de dados de incidentes cibernéticos da Kovrr, que contém informações atualizadas sobre eventos cibernéticos e seu impacto financeiro. O segundo conjunto de dados utilizado foi o de vazamentos do grupo Conti.
O que os pesquisadores analisaram é que os cibercriminosos têm exigido uma soma proporcional à receita anual da vítima; e a duração de um ataque de ransomware diminuiu significativamente em quantidade de dias em 2021. A divisão CPR também observou que os grupos de ransomware dispõem de regras básicas para obter uma negociação bem-sucedida com as vítimas.
Assim, as principais conclusões desta pesquisa da Check Point Research são:
Custo colateral: O resgate pago é um pequeno componente do custo do ataque de ransomware à vítima. A CPR estima que o custo total do ataque para a vítima é sete vezes maior que o valor que pagam aos cibercriminosos, e consiste em custos de resposta e restauração, honorários advocatícios e custos de monitoramento.
Soma da demanda: A soma da demanda de resgate depende da receita anual da vítima e varia entre 0,7% e 5% da receita anual. Quanto maior a receita anual da vítima, menor será o percentual da receita que será demandada, pois esse percentual representa um valor numérico maior em dólares.
Duração do ataque: A duração de um ataque de ransomware diminuiu significativamente em 2021, de 15 dias para nove dias.
Regras básicas de negociação: Os grupos de ransomware têm regras básicas claras para uma negociação bem-sucedida com as vítimas, influenciando o processo e a dinâmica da negociação:
A. Estimativa precisa da postura financeira da vítima
B. Qualidade dos dados exfiltrados da vítima
C. A reputação do grupo de ransomware
D. Existência de um seguro cibernético
E. A abordagem e os interesses dos negociadores das vítimas
O impacto financeiro de um ataque de ransomware consiste em vários componentes: o custo de extorsão (no caso de o resgate ser pago), custos de resposta e restauração, taxas legais, monitoramento e custos adicionais. A maioria desses componentes se aplica independentemente de o pedido de extorsão ter sido pago ou não. A CPR usou os dados levantados gerando vários exemplos importantes que mostram o impacto financeiro dos ataques de ransomware, além do custo de extorsão:
“Nesta pesquisa fornecemos uma análise aprofundada das perspectivas dos cibercriminosos e das vítimas de um ataque de ransomware. O principal aprendizado é que o resgate pago, que é o número com o qual a maioria das pesquisas lida, não é um número chave no ecossistema de ransomware. Tanto os cibercriminosos quanto as vítimas têm muitos outros aspectos financeiros e considerações em torno do ataque. É notável o quão sistemáticos esses cibercriminosos são na definição do número do resgate e na negociação. Nada é casual e tudo é definido e planejado de acordo com os fatores que descrevemos”, relata Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Software.
Shykevich destaca ainda o fato de que, para as vítimas, o “custo colateral” do ransomware é sete vezes maior do que o resgate que elas pagam. A principal recomendação dele é que as organizações devem construir com antecedência defesas cibernéticas adequadas, especialmente a elaboração de um plano de resposta bem definido contra os ataques de ransomware, de modo a economizarem muito dinheiro.
Ransomware pelos números
No primeiro trimestre de 2022, comparado ao mesmo período de 2021, a CPR levantou os seguintes números:
• Globalmente, a média semanal de organizações afetadas por uma tentativa de ataque de ransomware é de uma cada 53 – um aumento de 24% em relação ao ano anterior (uma em cada 66 organizações no primeiro trimestre de 2021).
• Na América Latina, a média semanal de organizações impactadas é de uma em cada 52 – um aumento de 25% em relação ao ano anterior (uma em cada 64 organizações no primeiro trimestre de 2021)
• No Brasil, no primeiro trimestre de 2022, em média uma em cada 61 organizações foi afetada por uma tentativa de ataque de ransomware por semana, um aumento de 45% em relação ao primeiro trimestre de 2021 cuja média foi de uma em cada 89 organizações. Quanto mais o número de organizações é menor, a disseminação do ransomware será maior, o que significa que houve um aumento nos ataques de ransomware. No caso do Brasil, o porcentual é calculado pela % de organizações impactadas:
1º trimestre de 2022 – 1 de 61 organizações -> 1,64% (=1/61)
1º trimestre de 2021 – 1 de 89 organizações -> 1,13% (=1/89)
· A mudança será -> (1,64%/1,13%) -> 45%
Dicas fundamentais de prevenção contra ransomware
Backup de dados robusto. O objetivo com um ataque de ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados criptografados. No entanto, isso só é eficaz se o alvo realmente perder o acesso aos seus dados. Uma solução de backup robusta e segura é uma maneira eficaz de mitigar o impacto desse tipo de ataque.
Treinamento de conscientização cibernética. E-mails de phishing são uma das formas mais populares de espalhar malware de resgate. Ao enganar um usuário para clicar em um link ou abrir um anexo malicioso, os cibercriminosos podem obter acesso ao computador do funcionário e iniciar o processo de instalação e execução do programa de ransomware nele. O treinamento frequente de conscientização sobre segurança cibernética é crucial para proteger a organização contra ransomware.
Autenticação de usuário forte e segura. Aplicar uma política de senha forte, exigir o uso de autenticação de múltiplos fatores e educar os funcionários sobre ataques de phishing projetados para roubar credenciais de login são componentes críticos da estratégia de segurança cibernética de uma organização.
Patches atualizados. Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
Conclusão
Nesta pesquisa, a CPR fez uma análise aprofundada das perspectivas dos cibercriminosos e das vítimas de um ataque de ransomware, além de verificar que os atacantes investem muito na execução de sua operação criminosa e tentam negociar pagamentos de resgate de forma rápida e eficiente. Por outro lado, a vítima, enquanto às vezes negocia com os agressores, sofre mais danos financeiros além do pagamento da extorsão. Foi possível observar que, em média, e também pelos exemplos específicos, esses custos adicionais são muito mais significativos do que o pagamento de extorsão.
O cenário do ransomware está em constante evolução, já que cibercriminosos e vítimas tentam ficar à frente um do outro. A pesquisa da CPR mostra que, enquanto as empresas atacadas conseguiram adaptar e melhorar as políticas de resposta, os cibercriminosos também adaptaram seus processos de ataque e negociação. As vítimas de ataques de ransomware devem lembrar que esta é uma ameaça criada e operada por pessoas reais, por isso é essencial que as organizações pratiquem comunicações claras e planejem cuidadosamente suas negociações para garantir o melhor resultado possível.
FONTE: SECURITY REPORT