Ransomware e cibercrime como um serviço: um negócio que veio para ficar

Já passaram mais de 30 anos desde o primeiro caso documentado de ransomware, quando, em 1989, Joseph Popp, um biólogo evolucionista, enviou 20 mil disquetes infetadas com um vírus para participantes de conferência da Organização Mundial de Saúde. Depois de colocada a disquete no computador, o vírus escondia os diretórios de ficheiros e informava as vítimas que o acesso só podia ser restaurado após o envio de um pagamento para uma caixa postal no Panamá.

Em 2025 já não é preciso enviar disquetes infetadas – até porque dificilmente alguém conseguiria ligá-la a um computador, a não ser que ainda tenha algum resquício de hardware escondido algures numa caixa – para fazer refém os ficheiros e informações das organizações e dos utilizadores.

Os dados do Observatório de Cibersegurança, divulgado pelo Centro Nacional de Cibersegurança no final de 2024, apontam que o ransomware – em conjunto com outras ciberameaças – continua a ser as principais ameaças que exploram as vulnerabilidades. Por sua vez, a Check Point, que se baseia em dados recolhidos entre abril e setembro de 2024, indica que “o ransomware tem sido uma das ameaças em ascensão, com 3,5% das empresas na península Ibérica a serem atacadas semanalmente”.

Por outro lado, o cibercrime como um todo continua a crescer. A Cybersecurity Ventures prevê que, em 2025, a economia global do cibercrime represente um lucro de 10,5 biliões (ou trillions) de dólares; a ser verdade, representaria a terceira maior economia do mundo em termos de produto interno bruto; apenas os Estados Unidos e a China ficariam à frente do submundo do cibercrime.

Num mundo em que tudo é um serviço e o as-a-Service é uma tendência no seio das organizações, também o cibercrime é vendido como um serviço. A expressão Cybercrime-as-a-Service não será, certamente, uma novidade para o leitor.

No final de 2022, o relatório Spotlight da Europol apontava que “os grupos de ransomware e os seus programas de afiliado continuam a ser uma praga para as empresas internacionais, organizações públicas, infraestruturas críticas e serviços essenciais”. Estes grupos, que operam em autênticos modelos de negócio, “baseiam-se no desenvolvimento de uma plataforma que os afiliados podem utilizar para implementar ransomware, publicar os dados exfiltrados e branquear os capitais de produtos criminosos”.

Ameaças mais sofisticadas

Qualquer pessoa que tenha algum tipo de ligação ao mundo tecnológico percebe que há cada vez mais ameaças digitais à sua utilização. As estatísticas dos mais variados fabricantes e entidades apontam todos na mesma direção: um crescimento das ameaças e um maior número de ataques.

	Rui Duro, Country Manager da Check Point Software Technologies em Portugal

Rui Duro, Country Manager da Check Point Software Technologies em Portugal, afirma, com base no “Ransomware Annual Report 2024” da Check Point, que durante o ano de 2024 houve 5.414 ataques de ransomware em todo o mundo, “um aumento de 11% em relação a 2023”. A fragmentação de “grupos veteranos” levou a que surgissem “46 novos grupos” de ransomware; um deles – o RansomHub – foi, sozinho, “responsável por 531 ataques”.

Com base no mais recente relatório sobre a Defesa Digital da Microsoft, Pedro Soares, National Security Officer da Microsoft Portugal, aponta para um crescimento de 2.75 vezes, em comparação com o ano anterior, em ataques de ransomware operados por humano. Por outro lado, diz, a percentagem de organizações que são comprometidas até à fase de encriptação “diminuiu mais de três vezes nos últimos dois anos”.

Paulo Pinto, Securing Cloud and Business Transformation da Fortinet Portugal, refere que os modos de operação e a integração de Inteligência Artificial (IA) tem levado a que as ameaças sejam cada vez mais sofisticadas onde, “mais do que a simples criptografia de dados, estes ataques apostam em extorsões complexas e de grande escala”. A Fortinet assistiu “como esperado” a um “aumento significativo de ataques com impacto direto em diversas indústrias e operações críticas”.

Fábio Ribeiro, Sales Engineer da WatchGuard Portugal, relembra que as principais ameaças de ransomware incluem, atualmente, os ataques de dupla e até tripla extorsão, “onde os atacantes não só encriptam os dados das vítimas, mas também ameaçam publicá-los ou vendê-los se o resgate não for pago”. Também a sofisticação destes ataques tem vindo a crescer e os grupos de ransomware continuam a “inovar as suas técnicas” e utilizam “malwares mais evasivos que contornam soluções de segurança tradicionais”.

Já para Chester Wisniewski, Director e Global Field CTO da Sophos, os nomes dos cibergrupos “não significam muito” porque “devido a sanções e detenções” os cibercriminosos “mudam frequentemente de lealdade ou de ‘marca’”.

A consciencialização em Portugal

Paulo Pinto, Securing Cloud and Business Transformation da Fortinet Portugal

Citando o relatório “Cibersegurança em Portugal”, disponibilizado em julho de 2024 pelo Centro Nacional de Cibersegurança, Paulo Pinto diz que o ransomware é identificado como “a ciberameaça de maior impacto” e é descrito como “estando diretamente relacionado ao modelo” de Cybercrime-as-a-Service. A relevância deste tipo de serviço é “mencionada ao destacar que os cibercriminosos utilizam este modelo para facilitar e ampliar as suas operações”. Ainda que possa existir uma “perceção crescente deste tipo de risco”, Paulo Pinto defende que “é necessário reforçar estratégias de cibersegurança para enfrentar a evolução do cibercrime”.

Chester Wisniewski refere que, “em Portugal, há um problema comum: muitas organizações pensam que são demasiado pequenas ou pouco importantes para serem identificadas e atacadas pelos criminosos de Ransomware-as-a-Service. Isto não poderia estar mais longe da verdade”. Para o representante da Sophos, é importante adotar a mentalidade de que sofrer um ataque de ransomware “não é uma questão de ‘se’, mas sim de ‘quando’” e ter em mente que “os custos dos incidentes” são “muitas vezes muito superiores ao pagamento do resgate que lhes é exigido” que pode resultar “em milhões de euros em danos, mesmo para organizações mais pequenas que, na maioria das vezes, não têm esse tipo de quantias disponível”.

Mesmo assumindo que a consciencialização sobre os ciber-riscos está a crescer em Portugal, Fábio Ribeiro partilha que muitas organizações “ainda subestimam” a ameaça representada pelo modelo de Cybercrime-as-a-Service. O representante da WatchGuard Portugal defende que este modelo “torna o ransomware acessível até mesmo a cibercriminosos menos experientes, aumentando o número de ataques direcionados”.

Baseando-se no estudo “Estado da Cibersegurança em Portugal” de fevereiro de 2024 da Microsoft, Pedro Soares refere que as organizações portuguesas estão cada vez mais conscientes do impacto que as operações de cibercrime como um serviço “podem ter nas suas operações”. Os ciberataques são, segundo o mesmo estudo, uma “das principais preocupações dos gestores portugueses”, superando mesmo “a instabilidade política e social”.

Rui Duro relembra que este modelo “democratizou o cibercrime” e permite que mesmo os “agentes iniciantes lancem ataques sofisticados”. Para o representante da Check Point, a “prevalência global deste modelo sugere que é imperativo que as organizações portuguesas reconheçam e enfrentem este risco, apesar de muitas ainda não terem noção daquilo que enfrentam”.

Tendências emergentes

	Fábio Ribeiro, Sales Engineer da WatchGuard Portugal

Para Fábio Ribeiro, as tendências emergentes no mundo do ransomware e do cibercrime como um serviço incluem ataques baseados em IA para identificar alvos mais vulneráveis, a utilização de criptomoedas para dificultar o rastreamento financeiro e o aumento de ataques direcionados a infraestruturas críticas. Outra tendência “preocupante”, diz, é “a crescente profissionalização dos grupos de ransomware, com serviços de suporte técnico, programas de afiliados e fóruns privados”.

Paulo Pinto refere que as tendências emergentes “indicam uma sofisticação crescente nos métodos de ataques”. Os cibercriminosos estão a adotar o Ransomware-as-a-Service que permite que qualquer individuo – mesmo sem conhecimentos técnicos aprofundados – possa “distribuir malware de forma eficaz”, o que torna este tipo de ataques “mais acessíveis e frequentes”. O representante da Fortinet nota, também, a utilização de inteligência artificial para “fazer o reconhecimento de redes sociais das vítimas e automatizar essa informação em kits de phishing”.

Na mesma linha, Pedro Soares aponta a inteligência artificial e o machine learning para “automatizar e escalar operações de ataque”. Para 2025, refere, espera- se “um aumento nos ataques de Ransomware-asa- Service, com grupo cibercriminosos a melhorar continuamente as suas ferramentas de evasão e deteção”, assim como “ataques direcionados a dispositivos móveis e infraestruturas de cloud”, que se estão a tornar mais comuns.

Rui Duro aponta a utilização de IA como uma tendência para “aumentar a eficácia dos ataques e o foco crescente em setores relevantes”; alguns setores registaram um aumento de 50% no número de ataques. Também o crescimento de novos grupos de ransomware, assim como a fragmentação de grandes grupos, que contribuiu para uma maior concorrência e inovação no cibercrime, é uma realidade do mercado.

Por seu lado, Chester Wisniewski defende que “não há muitas alterações recentes” se olharmos para o panorama geral do ransomware. “A evolução e a sofisticação acontecem, sim, mas não de forma muito óbvia”, afirma, explicando que, nos anos mais recentes, o “método de entrada tem sido quase sempre uma palavra-passe roubada ou um dispositivo com acesso à rede com vulnerabilidades não corrigidas”.

Os desafios das organizações

Pedro Soares, National Security Officer da Microsoft Portugal

Similarmente, Rui Duro defende que a recuperação de um ataque de ransomware é dificultada “pela falta de backups adequados e pela necessidade de lidar com os danos reputacionais”. O Country Manager da Check Point Portugal sublinha, ainda, que a complexidade dos ataques aumentou “devido ao uso de ferramentas baseadas na cloud para roubo de dados”.

Por sua vez, o representante da Sophos diz que, “sem qualquer dúvida”, o maior desafio das organizações “é encontrar dinheiro para resolver a situação”, não só, acrescenta, para restaurar os próprios serviços, mas para o fazer com uma postura de segurança “mais sólida e mais segura”.

Fábio Ribeiro também afirma que “recuperar de um ataque de ransomware é um processo exigente e multifacetado” que traz desafios para as empresas. Um dos problemas, aponta, é “a falta de backups recentes ou adequadamente configurados”. Depois, a “determinação da extensão da infeção é frequentemente complicada, exigindo garantias de que os sistemas comprometidos foram completamente limpos antes de serem restaurados”. Um outro desafio são “os custos elevados, tanto financeiros como reputacionais”, e, por fim, a “pressão para pagar o resgate imposto pelos atacantes, mesmo sabendo que tal ação não garante a recuperação total dos dados”.

Também Paulo Pinto partilha a opinião de que, mesmo que o resgate não seja pago, “os custos associados à recuperação podem incluir paralisação das operações, perda de receitas, sanções regulatórias por violações de dados e reparação de danos reputacionais junto de clientes e parceiros”. Assim, este cenário mostra “a importância de uma abordagem preventiva, com estratégias como backups isolados”, a “implementação de sistemas de deteção proativa” e, também, “formação contínua em cibersegurança”.

Melhores práticas

	Chester Wisniewski, Director e Global Field CTO da Sophos

Assumindo que podia dar vários conselhos, Chester Wisniewski afirma que “as empresas devem cobrir os básicos e ter a certeza de que o fazem bem”. O conselho pode “parecer vão”, mas “a verdade é que muitas pecam pela falta de atenção às coisas mais simples”.

Fábio Ribeiro partilha que prevenir ataques de ransomware “exige a adoção de um conjunto de boas práticas que combinam tecnologia, processos e formação” e onde é “essencial manter todos os sistemas e softwares atualizados com os patches de segurança mais recentes, garantindo a correção de vulnerabilidades conhecidas”. Ao mesmo tempo, a implementação de autenticação multifator em acessos críticos é outra medida indispensável.

Para Rui Duro, as melhores práticas que as organizações podem adotar “incluem o trabalho intenso de educação e treino dos colaboradores para evitar situações de phishing”, assim como “um trabalho de gestão de dados criteriosa com backups regulares de modo a garantir uma recuperação rápida em caso de ataque”.

Paulo Pinto defende que o primeiro passo é “estabelecer uma abordagem baseada no princípio de defesa em profundidade”, que inclui a implementação de autenticação multifator, controlos de acesso granulares e monitorização contínua da aplicação. Ao mesmo tempo, também as soluções de Endpoint Detection and Response, também conhecidas como EDR, podem monitorizar, detetar e atenuar ameaças em constante evolução.

Por fim, Pedro Soares, da Microsoft, afirma que se deve implementar um modelo de zero trust e, também, investir na educação contínua dos colaboradores sobre os riscos de phishing e outras técnicas de engenharia social que “são essenciais para fortalecer a postura de segurança”.