Tentativas de ataque de ransomware em Portugal aumentam 13% em 2022

• Investigação da CPR conclui ainda que os custos efetivos de recuperação de um ataque de ransomware são 7 vezes superiores ao resgate pago aos cibercriminosos
• A quantia pedida depende da receita anual da vítima, variando entre 0.7% e 5% da mesma
• Em 2022, a duração média dos ataques de ransomware diminuiu significativamente

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, partilha novas conclusões sobre a economia do ransomware depois de analisar a informação vazada pelo grupo de ransomware Conti e outros sets de dados relacionados com diferentes vítimas de ransomware. A quantia paga de resgate é apenas uma pequena parte do custo efetivo de recuperação de um ataque de ransomware para a vítima – a CPR estima que o custo total seja, na verdade, 7 vezes superior. A CPR analisou ainda a incidência de ataques de ransomware por país entre 2021 e 2022, concluindo que em Portugal, se registou um aumento de 13%.

A CPR analisou 2 sets de dados de forma a obter novas perspetivas sobre o ecossistema do ransomware, estimando que o custo colateral de um ataque de ransomware para as vítimas é 7 vezes superior ao valor que é muitas vezes pago pelas mesmas. O primeiro set de dados foi a base de dados da Kovrr sobre incidentes cibernéticos, que contém informação atualizada sobre ciberataques e o seu respetivo impacto financeiro. O segundo set utilizado foi a informação vazada pelo grupo de ransomware Conti. Outra das conclusões a ressaltar prende-se com a forma como é definida a quantia a pedir: de acordo com a investigação, esta depende da receita anual da vítima, variando entre 0.7% e 5% da mesma. A CPR alerta ainda para a diminuição significativa da duração média deste tipo de ataques – de 15 dias em 2021 para 9 em 2022. O objetivo da investigação foi explorar ambos os lados de um ataque deste tipo: o das vítimas e o dos atacantes.

Principais conclusões

1. Custo colateral. O resgate pago é uma pequena parte do custo de um ataque de ransomware para a vítima. A CPR estima que o custo total de um ataque deste tipo para a vítima seja 7 vezes superior do que o que é pago aos cibercriminosos, incluindo custos de resposta e restauração, taxas legais e custos de monitorização.
2. Quantia pedida. A quantia pedida para resgate de informação depende da receita anual da vítima e varia entre 0,7% e 5% das receitas anuais. Quanto maior for a receita anual da vítima, menor será a percentagem da receita que será exigida, uma vez que essa percentagem representa um valor numérico superior em dólares.
3. Duração do ataque. A duração de um ataque de ransomware tem diminuído significativamente em 2021, de 15 dias para 9 dias.
4. Regras-base de negociação. Os grupos de ransomware têm regras claramente definidas para uma negociação bem-sucedida com as vítimas, influenciando o processo de negociação e respetivas dinâmicas:
1. Estimativa exata da situação financeira da vítima
2. Qualidade dos dados roubados da vítima
3. A reputação do grupo de ransomware
4. Existência de insegurança cibernética
5. A abordagem a interesses dos negociantes da vítima

“Nesta investigação, apresentamos uma visão em profundidade para a perspetiva tanto do atacante como das vítimas de um ataque de ransomware. A conclusão central é que o resgate pago, que é o número com o qual a maioria das investigações lidam, não é o número mais importante do ecossistema do ransomware. Tanto os cibercriminosos como as vítimas têm muitos outros aspetos financeiros e considerações que envolvem o ataque,” começa por dizer Sergey Shykevich, Threat Intelligence Group Manager da Check Point Software. “É extraordinária a forma como os cibercriminosos são sistemáticos na definição de um número de resgate e na negociação. Nada é casual e tudo é definido e planeado de acordo com os fatores que descrevemos. É importante notar ainda o facto de para as vítimas, o ‘custo colateral’ do ransomware é 7 vezes maios que o resgate que pagam. A nossa mensagem para o público é que ter implementadas antecipadamente defesas cibernéticas avançadas, um plano de resposta bem definido para ataques de ransomware, pode poupar muito dinheiro às organizações.”

Ransomware em números

País/Região do mundo		1 em cada X organizações por semana em 2021	1 em cada X organizações por semana em 2022	Mudança entre o 1º Trimestre de 2022 e o 1º Trimestre de 2021
Portugal	59		52	13%
Europa	80		68	16%
Mundo	66		53	24%

Significa isto que, em Portugal, no primeiro trimestre de 2022, em média, semanalmente, 1 em cada 52 organizações foi impactada por uma tentativa de ataque de ransomware. Comparando com o período homólogo do ano anterior, registou-se um aumento de 13% do número de tentativas.

Na Europa, o cenário também foi de crescimento, com o 1 em cada 68 organizações a sofrer, por semana, uma tentativa de ataque de ransomware – um aumento de 16% face o ano anterior. Alargando ainda mais o ponto de vista, a CPR concluiu que, no mundo, o aumento entre o primeiro trimestre de 2021 e de 2022 foi de 24%.

Como deve proteger-se de Ransomware

1. Backup de dados robustos. O objetivo de um ataque de ransomware é forçar a vítima a pagar o valor de resgate exigido de forma a readquirir acesso aos seus dados encriptados. Contudo, isto só é eficaz se o alvo perder efetivamente o acesso aos seus dados. Uma solução robusta e segura de backup de dados é uma forma eficiente de mitigar o impacto de um ataque de ransomware.
2. Formação para a consciência cibernética. E-mails de phishing são uma das formas mais populares de iniciar ataques de ransomware. Ao enganar um utilizador para que clique num link ou anexo malicioso, os cibercriminosos podem obter acesso ao computador do funcionário e iniciar o processo de instalação e execução de um programa de ransomware. Promover formações para uma maior consciência cibernética é crucial para a proteção das organizações.
3. Autenticação forte e segura. Garantir uma política de palavras-passe robusta com autenticação multifator e sensibilizar as equipas para o que são ataques de phishing e para o roubo de credenciais de acesso são componentes críticas da estratégia de cibersegurança de uma organização.
4. Patches atualizadas. Manter os computadores atualizados e implementar patches de segurança, especialmente aquelas consideradas críticas, pode ajudar a minimizar a vulnerabilidade de uma organização a ataques de ransomware.