Fazendo um breve resumo na história do crime de computadores, muitos tipos de ataques, por uma razão ou outra, tornaram-se obsoletos e desapareceram de vista. O ransomware, no entanto, está se tornando cada vez mais uma ameaça. Desde o primeiro ataque conhecido em 1989, os danos do ransomware continuaram a crescer em escopo e gravidade. Nenhuma organização pode se dar ao luxo de esperar por alguma solução universal indolor. De acordo com uma pesquisa da Fortinet, 67% das empresas e organizações já foram alvo de ransomware.

O ransomware começou mais como um inconveniente do que um verdadeiro impacto para um determinado negócio, alguns computadores bloqueados aqui ou ali, com resgate talvez pago se algo importante não fosse copiado. Mas as gangues de ransomware refinaram suas técnicas ao longo do tempo, pesquisando seus alvos para identificar os maiores impactos operacionai e assim mais dor causada, resgates maiores e por fim mais dinheiro.

Como ficou ainda pior

O ransomware começou como um crime de oportunidade, com invasores infectando máquinas vulneráveis aleatoriamente e pedindo resgate.

A Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA observou algumas das maneiras pelas quais o ransomware se tornou mais eficaz e caro:

  • Os grupos de ransomware estão compartilhando informações sobre as vítimas entre si. Isso torna os ataques recorrentes mais frequentes.
  • Passando da “caça de grande porte” para vítimas menores. Os grupos de ransomware parecem aprender que os ataques de alto perfil (empresas de grande porte) trazem mais burocracia do que se imagina, por isso estão diversificando suas listas de alvos para mais vítimas de médio porte.
  • Tentativa de “extorsão tripla”. O primeiro pedido de resgate agora é apenas o ponto de partida. Como os invasores controlam as máquinas e desviam os dados, eles agora ameaçam:
  1. Liberar publicamente informações confidenciais (podem ser informações do cliente, informações de identificação pessoal ou outros tipos)
  2. Interromper o acesso à Internet ou outros serviços importantes da rede.
  3. Constranger a vítima ao revelar o ataque, o que pode levar a problemas com parceiros, acionistas e outras partes interessadas do negócio.

Algumas maneiras de aprimorar a resposta ao incidente

Embora o ransomware geral continue sendo uma das principais preocupações, existem medidas proativas que organizações de praticamente qualquer tamanho podem e devem adotar para minimizar o impacto de um incidente de ransomware. Embora haja uma variedade de controles técnicos disponíveis para prevenir, detectar e responder ao ransomware, também existem processos, práticas e conscientizações que podem posicionar as organizações para lidar muito melhor com um ataque de ransomware. Uma lista parcial dessas medidas proativas inclui:

  • Manual do Ransomware: Você documentou, em detalhes, as etapas certas a serem seguidas no momento certo quando o ransomware aparece? Ransomware tem vários níveis que um incidente de malware “normal” não tem.
  • Exercício de mesa de ransomware (TTX): Na verdade, passar por um incidente de ransomware é uma proposta muito estressante e geralmente cara, mas você pode aprender muito através de uma ação prática bem feita para garantir que toda detecção, resposta e recuperação estejam na mesma página .
  • Avaliação de ransomware: você acha que tem uma boa ideia de como seus controles de segurança, resposta a incidentes e planos de remediação são compatíveis com as ameaças de ransomware mais recentes? Ou talvez não tenha certeza? Uma avaliação objetiva de terceiros pode mostrar áreas de melhoria e onde você pode obter um feedback melhor de pontos na qual você não conseguiria enxergar.

Por quê essas ações preventivas tem retorno financeiro

Cada empresa tem abordagens diferentes para tolerância ao risco, gastos com segurança e análise de custo/benefício, mas alguns números brutos podem ser úteis para colocar o ransomware em uma perspectiva de negócios. Dois números em particular são úteis: o custo médio de recuperação de um ataque e a demanda média de resgate.

O custo médio de um único incidente de ransomware era de US$ 713.000 em empresas americanas, alguns anos atrás.

O custo de apenas pagar o resgate vem aumentando, chegando a US$ 178.254 de empresas americanas em 2021.

Apenas a consideração básica desses números brutos sugere que se preparar para o ransomware, tornando a resposta e a recuperação mais eficientes e controles preventivos, pode levar a um bom retorno do investimento. Deve-se notar que os números acima não capturam danos à reputação, perda de confiança do cliente e outros custos que são difíceis de quantificar, mas são reais.

Conclusão

O ransomware obviamente não desaparecerá tão cedo e provavelmente permanecerá em níveis de pico, como mostra a pesquisa do FortiGuard Labs. As organizações que ainda não foram atingidas podem continuar aproveitando a sorte ou podem dar uma boa olhada em onde estão e se tornar um alvo mais difícil.

Para ajudar a navegar pelo ransomware de forma eficaz, nosso Serviço de Assinatura de Preparação para Incidentes pode ajudar as organizações com uma resposta rápida e eficaz quando um incidente é detectado e também ajudar a se preparar melhor para um incidente cibernético imprevisto por meio de avaliações de prontidão, desenvolvimento de manual de IR e testes de manual de IR (exercícios de mesa ).

REFERÊNCIAS:

https://www.fortinet.com/blog/business-and-technology/the-evolving-ransomware-threat

https://www.fortinet.com/solutions/small-business/stop-ransomware-phishing?utm_source=blog&utm_campaign=ransomware

https://www.fortinet.com/support/support-services/fortiguard-security-subscriptions/incident-response