Estudo Sophos: encriptação de dados por ransomware atingiu o nível mais alto dos últimos quatro anos

Estudo Sophos: encriptação de dados por ransomware atingiu o nível mais alto dos últimos quatro anos

· O relatório anual “The State of Ransomware” da empresa também concluiu que pagar o resgate faz com que os custos de recuperação mais do que dupliquem.

· Por outro lado, a incidência de ataques de ransomware permanece estável: 66% das organizações inquiridas reporta ter sido atingida.

A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, acaba de lançar o seu relatório anual "The State of Ransomware", que revelou que os adversários conseguiram encriptar dados em 76% dos ataques de ransomware às organizações inquiridas. Esta é a maior taxa de encriptação de dados por ransomware desde que a Sophos começou a publicar este relatório em 2020.

A investigação também demonstrou que, quando as organizações pagaram um resgate para desencriptar os dados, acabaram por duplicar os seus custos de recuperação – pagaram, em média, 683.000€ em custos de recuperação, em comparação com 341.000€ para as organizações que recorreram a backups para recuperar os dados. Para além disso, pagar o resgate geralmente significou tempos de recuperação mais longos – 45% das organizações que utilizou backups recuperou numa semana, enquanto apenas 39% das que pagaram o resgate conseguiu fazê-lo nesse mesmo tempo.

No total, 66% das organizações inquiridas foram atacadas por ransomware – a mesma percentagem do ano passado. Isto sugere que a incidência deste tipo de ataques se manteve estável, apesar de a perceção atualmente ser de que houve uma redução.

"Após uma queda temporária durante a pandemia, as taxas de encriptação de dados voltaram a subir para níveis muito elevados, o que é certamente preocupante. Os gangues de ransomware têm vindo a aperfeiçoar as suas metodologias e a acelerar os ataques, com vista a reduzir o tempo que os defensores têm para conseguirem deter os esquemas," afirmou Chester Wisniewski, Field CTO da Sophos. "Os custos dos incidentes aumentam significativamente quando se pagam os resgates. A maioria das vítimas não será capaz de recuperar todos os seus ficheiros simplesmente por comprar as chaves de encriptação; também têm de se reconstruir e recuperar a partir de backups. Pagar os resgates não só enriquece os criminosos, como também atrasa a resposta a incidentes e adiciona custos a uma situação já devastadoramente cara."

O relatório da Sophos também concluiu que a causa mais comum dos ataques de ransomware foi a exploração de vulnerabilidades (36% dos casos), seguida de credenciais comprometidas (29% dos casos). Tal está, de resto, de acordo com as recentes descobertas do estudo “Active Adversary Report for Business Leaders”, que a empresa lançou no mês passado.

Algumas das restantes conclusões principais do relatório “The State of Ransomware 2023” são:

· Em 30% dos casos em que os dados foram encriptados, também foram roubados, sugerindo que este método de "golpe duplo" (encriptação e exfiltração de dados) está a tornar-se mais comum;

· O setor da educação reportou o maior nível de ataques de ransomware, com 79% das organizações de ensino superior e 80% das organizações de ensino básico inquiridas atingidas;

· No geral, 46% das organizações cujos dados foram encriptados pagou o resgate. No entanto, as organizações de maior dimensão foram muito mais propensas a pagar – mais de metade das empresas com receitas iguais ou superiores a 455 milhões de euros pagaram o resgate, sendo a taxa mais elevada reportada pelas empresas com receitas superiores a 4.5 mil milhões de euros. Isso poderá dever-se, em parte, ao facto de as empresas de maior dimensão também serem mais propensas a ter uma apólice de ciberseguros autónoma que cobre os pagamentos de resgates.

"Uma vez que dois terços das organizações relataram ter sido vítimas de ransomware pelo segundo ano consecutivo, provavelmente atingimos um planalto. A chave para reduzir este número é trabalhar para diminuir agressivamente tanto o tempo de deteção como o tempo de resposta. O threat hunting liderado por humanos é muito eficaz a deter estes criminosos, mas os alertas devem ser investigados e os criminosos devem ser expulsos dos sistemas em horas ou dias, e não em semanas ou meses. Os analistas experientes são capazes de reconhecer os padrões de uma invasão ativa em minutos e agir de imediato. Provavelmente esta foi a diferença entre as empresas que ficaram seguras e os dois terços que não ficaram. Atualmente, as organizações têm de estar alerta 24/7 para montar uma defesa eficaz," acrescentou Wisniewski.

A Sophos recomenda as seguintes melhores práticas para as empresas se defenderem melhor contra ransomware e ciberataques relacionados:

· Reforçar ainda mais as estratégias de defesa com:

o Ferramentas de segurança que protegem dos vetores de ataque mais comuns, incluindo proteção de endpoints com fortes capacidades anti-exploit para evitar a exploração de vulnerabilidades, e acesso de rede baseado em confiança zero (ZTNA, na sua sigla em inglês) para impedir o abuso de credenciais comprometidas;

o Tecnologias adaptativas que dão resposta automática aos ataques, detendo os adversários e ganhando mais tempo para os defensores agirem;

o Deteção, investigação e resposta a ameaças 24/7, seja levada a cabo internamente ou em parceria com um fornecedor de serviços especializado em Deteção e Resposta Geridas (MDR, na sua sigla em inglês).

· Otimizar a preparação para ataques, incluindo fazer backups regulares, praticar a recuperação de dados a partir destes e manter um plano de resposta a incidentes atualizado.

· Manter uma boa higiene de segurança, incluindo aplicar patches de forma atempada e rever regularmente as configurações das ferramentas de segurança.

Os dados do “The State of Ransomware 2023” foram obtidos através de um inquérito independente e agnóstico quanto ao fornecedor a 3.000 líderes de cibersegurança/TI realizado entre janeiro e março de 2023. Os entrevistados estão localizados em 14 países nas regiões EMEA, América e Ásia-Pacífico. As organizações inquiridas têm entre 100 e 5.000 colaboradores e as suas receitas variam entre menos de 9.100 milhões de euros e mais de 4.5 mil milhões de euros.