A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, decidiu “olhar por trás das cortinas” da economia de ransomware para descobrir a situação do ponto de vista dos grupos de criminosos cibernéticos e das vítimas (as organizações).
Nos últimos anos, os ataques de ransomware evoluíram para se tornar o tipo de ciberataque mais disruptivo que as organizações têm enfrentado. Além de interromper os processos diários das organizações e potencialmente causar uma interrupção nos negócios, o ransomware pode ter um grande impacto financeiro. Em sua forma mais visível, isso significa o próprio pagamento do resgate exigido pelos grupos criminosos, o qual pode chegar a milhões de dólares.
Nesta pesquisa da CPR foram examinados os custos ocultos adicionais causados durante e após o ataque de ransomware. As perdas de longo prazo que as vítimas sofrem após o ataque são muito mais significativas do que a maioria poderia supor. A CPR monitorou um aumento de 24% nos ataques de ransomware ano a ano para organizações em todo o mundo. A média semanal de organizações impactadas globalmente é de uma em cada 53, contra uma em cada 66 no mesmo período de 2021.
A seguir, os pesquisadores da CPR compartilharam os novos insights sobre a economia de ransomware depois de terem analisado mais detalhadamente os vazamentos do grupo Conti e diferentes conjuntos de dados relacionados às vítimas de ransomware. O resgate pago é um pequeno componente do custo real de um ataque de ransomware para a vítima, pois a CPR estima que o custo total seja sete vezes maior que o valor do pagamento.
O primeiro conjunto pesquisado foi o banco de dados de incidentes cibernéticos da Kovrr, que contém informações atualizadas sobre eventos cibernéticos e seu impacto financeiro. O segundo conjunto de dados utilizado foi o de vazamentos do grupo Conti.
O que os pesquisadores analisaram é que os cibercriminosos têm exigido uma soma proporcional à receita anual da vítima; e a duração de um ataque de ransomware diminuiu significativamente em quantidade de dias em 2021. A divisão CPR também observou que os grupos de ransomware dispõem de regras básicas para obter uma negociação bem-sucedida com as vítimas.
Assim, as principais conclusões desta pesquisa da Check Point Research são:
. Custo colateral: O resgate pago é um pequeno componente do custo do ataque de ransomware à vítima. A CPR estima que o custo total do ataque para a vítima é sete vezes maior que o valor que pagam aos cibercriminosos, e consiste em custos de resposta e restauração, honorários advocatícios e custos de monitoramento.
. Soma da demanda: A soma da demanda de resgate depende da receita anual da vítima e varia entre 0,7% e 5% da receita anual. Quanto maior a receita anual da vítima, menor será o percentual da receita que será demandada, pois esse percentual representa um valor numérico maior em dólares.
. Duração do ataque: A duração de um ataque de ransomware diminuiu significativamente em 2021, de 15 dias para nove dias.
. Regras básicas de negociação: Os grupos de ransomware têm regras básicas claras para uma negociação bem-sucedida com as vítimas, influenciando o processo e a dinâmica da negociação:
a. Estimativa precisa da postura financeira da vítima
b. Qualidade dos dados exfiltrados da vítima
c. A reputação do grupo de ransomware
d. Existência de um seguro cibernético
e. A abordagem e os interesses dos negociadores das vítimas
“Nesta pesquisa fornecemos uma análise aprofundada das perspectivas dos cibercriminosos e das vítimas de um ataque de ransomware. O principal aprendizado é que o resgate pago, que é o número com o qual a maioria das pesquisas lida, não é um número chave no ecossistema de ransomware. Tanto os cibercriminosos quanto as vítimas têm muitos outros aspectos financeiros e considerações em torno do ataque. É notável o quão sistemáticos esses cibercriminosos são na definição do número do resgate e na negociação. Nada é casual e tudo é definido e planejado de acordo com os fatores que descrevemos”, relata Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Software.
Shykevich destaca ainda o fato de que, para as vítimas, o “custo colateral” do ransomware é sete vezes maior do que o resgate que elas pagam. A principal recomendação dele é que as organizações devem construir com antecedência defesas cibernéticas adequadas, especialmente a elaboração de um plano de resposta bem definido contra os ataques de ransomware, de modo a economizarem muito dinheiro.
Ransomware pelos números
No primeiro trimestre de 2022, comparado ao mesmo período de 2021, a CPR levantou os seguintes números:
. Globalmente, a média semanal de organizações afetadas por uma tentativa de ataque de ransomware é de uma cada 53 – um aumento de 24% em relação ao ano anterior (uma em cada 66 organizações no primeiro trimestre de 2021).
· No Brasil, no primeiro trimestre de 2022, em média uma em cada 61 organizações foi afetada por uma tentativa de ataque de ransomware por semana, um aumento de 45% em relação ao primeiro trimestre de 2021 cuja média foi de uma em cada 89 organizações.
Dicas fundamentais de prevenção contra ransomware
Backup de dados robusto: O objetivo com um ataque de ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados criptografados. Uma solução de backup robusta e segura é uma maneira eficaz de mitigar o impacto desse tipo de ataque.
Treinamento de conscientização cibernética: E-mails de phishing são uma das formas mais populares de espalhar malware de resgate. O treinamento frequente de conscientização sobre segurança cibernética é crucial para proteger a organização contra ransomware.
Autenticação de usuário forte e segura: Aplicar uma política de senha forte, exigir o uso de autenticação de múltiplos fatores e educar os funcionários sobre ataques de phishing projetados para roubar credenciais de login são componentes críticos da estratégia de segurança de uma empresa.
Patches atualizados: Manter os computadores atualizados e aplicar patches de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
