Sophos: “Os custos de recuperação de um ataque de ransomware estão a aumentar” (com vídeo)

Na sua intervenção na IT Security Conference 2024, Mark Loman, VP de Desenvolvimento de Software da Sophos, destacou a crescente atividade de ransomware e os métodos utilizados pelos atacantes para contornar as defesas existentes.

“Os custos de recuperação de um ataque de ransomware, excluindo o pagamento do resgate, estão a aumentar”, concluiu Mark Loman ao mencionar uma pesquisa independente realizada pela Sophos no início deste ano, que envolveu mais de 5.000 líderes de IT e cibersegurança em 14 países. O estudo revelou que a recuperação de um ataque é cada vez mais onerosa, especialmente para empresas de grandes dimensões. “Recuperar de um ataque de ransomware é muito caro”, por isso, o orador sugeriu que as empresas devem defender-se proativamente para envergarem num caminho mais seguro.

Dispositivos não geridos e táticas de ransomware

O orador mencionou que “observamos cerca de 10 ataques por dia em toda a base de clientes da Sophos”. Essa estatística alarmante revela a frequência com que as empresas estão expostas a ciberameaças. Muitos clientes que utilizam soluções como o Microsoft Defender ou o CrowdStrike continuam a perder dados, o que levanta questões sobre a eficácia das suas defesas. Mark Lohman argumentou que a Microsoft reconheceu esta vulnerabilidade, afirmando que “80% a 90% de todos os compromissos de transferência sucessiva têm origem em dispositivos não mantidos”.

Um ponto fundamental que foi abordado pelo VP de Desenvolvimento de Software da Sophos foi a facilidade com que os atacantes podem obter acesso a dispositivos não geridos, utilizando credenciais adquiridas no submundo: “Se conseguir conectar-se através da VPN, ele procura a rede por um dispositivo não gerido”. Essa estratégia permite que os atacantes instalem “um implante que concede a esses atacantes acesso remoto e também lhes permite procurar todas as máquinas que existem na rede, incluindo os servidores de backup”.

Mark Lohman explicou que “o ransomware é enviado e utilizado em todas as máquinas na rede”, e embora existam proteções em vigor, se um dispositivo não gerido for comprometido, o mesmo pode causar danos significativos. O ataque pode ser complicado, uma vez que mesmo que as máquinas protegidas consigam bloquear o ransomware, “os servidores também são atacados”, de acordo com o especialista. Esta complexidade ilustra a evolução das táticas de ransomware, onde o objetivo final é aceder e encriptar dados críticos.

“A outra parte, que ninguém fala, é o encerramento remoto do ransomware” e este ponto enfatiza que os atacantes não se limitam a enviar o ransomware, mas também copiam dados para a máquina comprometida, encriptando esses dados antes de enviá-los de volta. Isso resulta na encriptação de todos os arquivos em servidores e dispositivos, aumentando a gravidade do ataque, ou seja, de acordo com Mark Lomam “os documentos locais são encriptados por ransomware remoto, que está a funcionar no dispositivo não gerido […] capaz de encriptar todos os arquivos em todos os servidores de toda a rede”.

Comparação com soluções de segurança

Mark Lohman trouxe uma demonstração prática, na qual comparou um ataque de ransomware, especificamente o LockBit 3.0, contra o Microsoft Defender. Neste caso explicou que “as soluções de segurança de endpoint apenas têm a capacidade de terminar um processo, colocar uma aplicação em quarentena ou isolar a máquina comprometida”. Contudo, também destacou que, apesar de ser detetado rapidamente, o ataque pode ter consequências graves devido à vulnerabilidade dos dispositivos não geridos, uma vez que continuam a ter acesso aos dados.

“A gestão de ativos é muito difícil, tal como a tecnologia da Microsoft. Uma máquina não gerida é suficiente para perder todos os dados na rede”, explica o orador. Isto reflete a complexidade da cibersegurança, especialmente quando se trata de proteger dispositivos que não estão sob gestão direta.

Para fazer face a esse problema, a Sophos apresentou o Sophos Intercept X Endpoint, que oferece proteção eficaz contra ransomware, permitindo a deteção e mitigação rápida de ataques. O especialista revelou que esta solução “possui todas as capacidades que o Microsoft Defender, mas é um pouco diferente porque oferece uma proteção real contra ransomware - o chamado Sophos CryptoGuard - e não se concentra apenas no malicioso, mas também se foca nos dados”. Explicou que “não encripta os ficheiros completos, apenas os primeiros blocos”, o que permite bloquear ataques de ransomware remoto, que aumentaram 62% anualmente. Esta tendência crescente deve-se, de acordo com Mark Loman, “ao facto de que muitos ransomware têm a capacidade, atualmente, de permitir que o atacante configure o ransomware para atacar dados específicos na sua rede”.

A necessidade de preparação e vigilância

Mark Lohman concluiu ao afirmar que “os cibercriminosos não estão a desenvolver apenas malware, mas também o ransomware e a sua capacidade de navegar em todos os dispositivos não geridos”. Este avanço contínuo em técnicas de ataque torna cada vez mais difícil para as organizações protegerem-se contra essas ameaças, uma vez que de acordo com o especialista, “estão a ficar mais sofisticados e serão cada vez mais difíceis de parar”. O panorama de ransomware está a evoluir rapidamente, e as empresas devem estar preparadas para enfrentar estes novos desafios com soluções robustas e proativas.

O discurso de Mark Lohman foi um lembrete claro de que, num mundo onde os ataques de ransomware são uma realidade diária, a preparação e a vigilância são fundamentais para proteger dados e sistemas críticos.