Estudo Sophos revela que 66% das organizações foram atingidas por ransomware em 2021

• Estudo revela que o pagamento médio de um resgate aumentou quase cinco vezes, para 766.324€.
• 46% das organizações cujos dados foram encriptados num ataque de ransomware pagou o resgate.

A Sophos, líder global em soluções de cibersegurança de próxima geração, acaba de divulgar o seu estudo anual State of Ransomware 2022, onde analisa experiências de ransomware do mundo real. O relatório mostra que 66% das organizações inquiridas foram atingidas por ransomware em 2021, em comparação com 37% em 2020. O resgate médio pago pelas organizações cujos dados foram encriptados no seu ataque de ransomware mais significativo aumentou quase cinco vezes para 766.324€, tendo também triplicado a proporção de organizações que pagaram resgates de valor igual ou superior a 943.330€ (1 milhão de dólares). Quase metade das organizações (46%) cujos dados foram encriptados pagou o resgate para os recuperar, mesmo dispondo de outros meios de recuperação, como os backups.

O estudo resume o impacto do ransomware em 5.600 organizações de média dimensão em 31 países na Europa, Américas, Ásia-Pacífico e Ásia Central, Médio Oriente e África, sendo que 965 partilharam detalhes dos seus pagamentos de ransomware.

“Juntamente com o valor crescente dos pagamentos, a investigação mostra que a proporção de vítimas que os pagam também continua a aumentar, mesmo quando têm outras opções disponíveis,” explicou Chester Wisniewski, Principal Research Scientist da Sophos. “Pode haver várias razões para isto, incluindo backups incompletos ou o desejo de impedir que os dados roubados apareçam em websites de leaks de informação. No rescaldo de um ataque de ransomware, geralmente há uma pressão intensa para voltar a operar o mais rápido possível. Restaurar os dados encriptados utilizando backups pode ser um processo difícil e demorado, pelo que pode ser tentador pensar que pagar um resgate por uma chave de desencriptação é a opção mais rápida. É, também, uma opção repleta de riscos. As organizações não sabem o que os atacantes podem ter feito, como por exemplo adicionar ‘backdoors’, copiar palavras-passe e muito mais. Se as organizações não limparem a fundo os dados recuperados, podem ficar com todo este material potencialmente tóxico na sua rede e possivelmente expostas a um novo ataque.”

As principais conclusões da investigação global State of Ransomware 2022, que cobre incidentes de ransomware ocorridos durante 2021, bem como problemas relacionados com ciberseguros, incluem:

• Os pagamentos de resgate estão mais elevados – Em 2021, 11% das organizações disse ter pago resgates iguais ou superiores a 943.330€ ($1M), acima dos 4% de 2020, enquanto a percentagem de organizações que pagou menos de 9.433€ ($10 mil) caiu para 21%, em relação aos 34% de 2020.
• Há mais vítimas a pagar o resgate – Em 2021, 46% das organizações cujos dados foram encriptados num ataque de ransomware pagou o resgate, e 26% das organizações que conseguiram restaurar os dados encriptados utilizandos backups também pagou o resgate.
• O impacto de um ataque de ransomware pode ser tremendo – Em 2021, o custo médio para recuperar do ataque de ransomware mais recente foi superior a 1.3 milhões de euros. A recuperação dos danos e perturbações demorou, em média, um mês. 90% das organizações afirmou que o ataque afetou a sua capacidade de operar e 86% das vítimas do setor privado assumiu que perdeu negócios e/ou receitas por causa do ataque.
• Muitas organizações contam com ciberseguros para ajudar a recuperar de um ataque de ransomware – 83% das organizações de média dimensão disse ter um seguro que as cobre no caso de um ataque de ransomware – e, em 98% dos incidentes, a seguradora pagou alguns dos, ou todos, os custos em que incorreram (sendo que 40% no geral cobriu o pagamento do resgate).
• 94% das empresas com ciberseguros afirma que a sua experiência com estes mudou nos últimos 12 meses, com mais exigências quanto a medidas de cibersegurança, políticas mais complexas ou dispendiosas e menos organizações a oferecer proteção de seguro.

“Os resultados sugerem que podemos ter atingido um pico na evolução da jornada do ransomware, sendo que a ganância dos invasores por pagamentos de resgate cada vez mais elevados está a chocar de frente com o endurecimento do mercado de ciberseguros, à medida que as seguradoras procuram cada vez mais reduzir o seu risco e exposição ao ransomware,” comentou Wisniewski. “Nos últimos anos, tem-se tornado cada vez mais fácil para os cibercriminosos implementar ransomware, com quase tudo disponível ‘as-a-service’. Em segundo lugar, muitos fornecedores de ciberseguros têm vindo a cobrir uma vasta gama de custos de recuperação de ransomware, incluindo o resgate, provavelmente contribuindo para as exigências de resgate cada vez elevados. No entanto, os resultados indicam que conseguir ciberseguros está a tornar-se mais complicado e, no futuro, as vítimas de ransomware podem estar menos dispostas ou menos capazes de pagar resgates elevadíssimos. Infelizmente, é improvável que isto reduza o risco geral de um ataque de ransomware. Este tipo de ataques não utiliza tantos recursos como outros ciberataques mais manuais, elo que qualquer retorno vale a pena e os cibercriminosos vão continuar a perseguir os mais vulneráveis.”

A Sophos recomenda as seguintes boas práticas para ajudar na defesa contra o ransomware e ciberataques relacionados:

1. Instalar e manter proteção de alta qualidade em todos os pontos do ambiente de uma organização. Rever os controlos de segurança regularmente e certificar-se de que continuam a dar resposta às necessidades.
2. Procurar ameaças proativamente para identificar e deter os adversários antes que estes possam executar um ataque – se a equipa não tiver o tempo ou as competências para o fazer internamente, deve contratar-se um especialista em Deteção e Resposta Geridas (Managed Detection and Response – MDR) em regime de outsourcing.
3. Reforçar o ambiente de TI, procurando e eliminando as principais lacunas de segurança: dispositivos sem patches, máquinas desprotegidas, portas RDP abertas, etc. As soluções de Deteção e Resposta Ampliadas (Extended Detection and Response – XDR) são ideais para esta finalidade.
4. Preparar-se para o pior: saber o que fazer se ocorrer um ciberincidente e manter o plano de ação atualizado.
5. Fazer backups e praticar o seu restauro para que a organização possa voltar a operar o mais rápido possível, com o mínimo de disrupção.

Leia o estudo completo The State of Ransomware 2022 para conhecer os resultados globais e os dados por setor.