Encriptação de dados em ataques de ransomware atinge recorde

A encriptação de dados por ransomware atingiu o nível mais alto dos últimos quatro anos, com os cibercriminosos a encriptarem dados em 76% dos ataques. Os dados são da Sophos no seu relatório anual “The State of Ransomware”, que demonstrou que, quando as organizações pagaram um resgate para desencriptar os dados, acabaram por duplicar os seus custos de recuperação – pagaram, em média, 683 mil euros em custos de recuperação, em comparação com 341 mil euros para as organizações que recorreram a backups para recuperar os dados. 

Para além disso, pagar o resgate geralmente significou tempos de recuperação mais longos – 45% das organizações que utilizou backups recuperou numa semana, enquanto apenas 39% das que pagaram o resgate conseguiu fazê-lo nesse mesmo tempo. No total, 66% das organizações inquiridas foram atacadas por ransomware – a mesma percentagem do ano passado. Isto sugere que a incidência deste tipo de ataques se manteve estável, apesar de a perceção atualmente ser de que houve uma redução.

“Após uma queda temporária durante a pandemia, as taxas de encriptação de dados voltaram a subir para níveis muito elevados, o que é certamente preocupante. Os gangues de ransomware têm vindo a aperfeiçoar as suas metodologias e a acelerar os ataques, com vista a reduzir o tempo que os defensores têm para conseguirem deter os esquemas”, afirmou Chester Wisniewski, Field CTO da Sophos. 

“Os custos dos incidentes aumentam significativamente quando se pagam os resgates. A maioria das vítimas não será capaz de recuperar todos os seus ficheiros simplesmente por comprar as chaves de encriptação; também têm de se reconstruir e recuperar a partir de backups. Pagar os resgates não só enriquece os criminosos, como também atrasa a resposta a incidentes e adiciona custos a uma situação já devastadoramente cara”, completa.

O relatório da Sophos também concluiu que a causa mais comum dos ataques de ransomware foi a exploração de vulnerabilidades (36% dos casos), seguida de credenciais comprometidas (29% dos casos). Adicionalmente, o “The State of Ransomware 2023” descobriu que:

• Em 30% dos casos em que os dados foram encriptados, também foram roubados, sugerindo que este método de “golpe duplo” (encriptação e exfiltração de dados) está a tornar-se mais comum;
• O setor da educação reportou o maior nível de ataques de ransomware, com 79% das organizações de ensino superior e 80% das organizações de ensino básico inquiridas atingidas;
• No geral, 46% das organizações cujos dados foram encriptados pagou o resgate. No entanto, as organizações de maior dimensão foram muito mais propensas a pagar – mais de metade das empresas com receitas iguais ou superiores a 455 milhões de euros pagaram o resgate, sendo a taxa mais elevada reportada pelas empresas com receitas superiores a 4,5 mil milhões de euros. Isso poderá dever-se, em parte, ao facto de as empresas de maior dimensão também serem mais propensas a ter uma apólice de ciberseguros autónoma que cobre os pagamentos de resgates.

“Uma vez que dois terços das organizações relataram ter sido vítimas de ransomware pelo segundo ano consecutivo, provavelmente atingimos um planalto. A chave para reduzir este número é trabalhar para diminuir agressivamente tanto o tempo de deteção como o tempo de resposta. O threat hunting liderado por humanos é muito eficaz a deter estes criminosos, mas os alertas devem ser investigados e os criminosos devem ser expulsos dos sistemas em horas ou dias, e não em semanas ou meses. Os analistas experientes são capazes de reconhecer os padrões de uma invasão ativa em minutos e agir de imediato. Provavelmente esta foi a diferença entre as empresas que ficaram seguras e os dois terços que não ficaram. Atualmente, as organizações têm de estar alerta 24/7 para montar uma defesa eficaz”, acrescentou Chester Wisniewski.