A Sophos, líder global em soluções de segurança inovadoras que evitam ataques cibernéticos, lançou a edição de 2024 do relatório “State of Ransomware“, conduzido pela empresa anualmente. Entre os destaques, todos referentes a 2023, o levantamento constatou um aumento de 500% no valor do pagamento de resgates no ano passado – a média global foi de US$ 2 milhões, número muito acima dos US$ 400 mil segundo a pesquisa anterior. No entanto, os resgates são apenas uma parte do custo, pois também foi revelado que o investimento total para a recuperação de dados atingiu a marca dos US$ 2,73 milhões, expansão de quase US$ 1 milhão em relação aos US$ 1,82 milhão relatados pela Sophos no último estudo. No Brasil, os pagamentos de ransomware ficaram em uma média de US$ 1,22 milhão em 2023, e os investimentos para a retomada total do controle sobre os dados totalizaram US$ 2,73 milhões – um aumento significativo em relação aos US$ 1,92 milhão registrados em 2022.
Apesar do crescimento das quantias pagas pelas vítimas, o estudo deste ano indica uma pequena redução na taxa de ataques de ransomware em escala global, com 59% das organizações atingidas, em comparação aos 66% mostrados no estudo divulgado em 2023. Localmente, houve uma queda considerável: 44% das organizações brasileiras foram atingidas por ransomware no último ano, um decréscimo em relação aos 68% relatados no ano anterior. Embora a probabilidade de ser alvo desse tipo de ameaça aumente conforme o faturamento, até mesmo as organizações menores (com menos de US$ 10 milhões em receita) foram visadas constantemente – em 2023, pouco menos da metade (47%) das companhias desse porte sofreu com ransomware.
O relatório de 2024 também aponta que 63% dos pedidos de resgate no mundo no ano passado foram de pelo menos US$ 1 milhão, sendo 30% de mais de US$ 5 milhões, o que sugere que os atacantes estão buscando grandes pagamentos. Infelizmente, esses valores mais altos não são apenas para as organizações com maior receita. Quase metade (46%) das empresas com receita inferior a US$ 50 milhões recebeu ao menos um pedido de resgate de sete dígitos em 2023.
“Não podemos permitir que essa leve queda nos índices de ataques nos dê uma sensação de tranquilidade. Os golpes ransomware ainda são a ameaça mais dominante do nosso ecossistema e alimentam a economia do crime cibernético. Sem essa modalidade de sequestro de dados, não veríamos a mesma variedade, o volume de ameaças e os serviços precursores que sustentam esses ataques. Os custos altíssimos que envolvem essa modalidade desmentem o fato de que esse é um crime de oportunidades iguais. O universo do ransomware oferece algo para todos os cibercriminosos, independentemente de suas habilidades. Enquanto alguns grupos estão focados em resgates multimilionários, há outros que se contentam com quantias menores, compensando-as com um grande volume”, afirma John Shier, CTO de campo da Sophos.
Pelo segundo ano consecutivo, a exploração de vulnerabilidades foi a causa raiz mais identificada para um ataque, afetando 32% das organizações, seguida por credenciais comprometidas (29%) e e-mails maliciosos (23%). O Brasil segue a tendência global neste recorte: vulnerabilidades exploradas (49%) e credenciais comprometidas (21%) foram as duas principais portas de entrada para incidentes envolvendo ransomware. Esses dados estão diretamente alinhados com as descobertas recentes advindas de respostas a incidentes em campo do relatório Active Adversary, conduzido pela Sophos.
Aprofundando um pouco mais, o relatório apontou que as vítimas de ataques que começaram a partir da exploração de vulnerabilidades relataram impactos mais graves nas empresas, com uma taxa maior de comprometimento de backup (75%), criptografia de dados (67%) e propensão a pagar o resgate (71%), quando comparado aos ataques iniciados com credenciais comprometidas, por exemplo. Nesses casos, as companhias também sofreram consequências financeiras e operacionais consideravelmente maiores, com um custo médio de recuperação de US$ 3,58 milhões, ante os US$ 2,58 milhões das companhias que sofreram com credenciais comprometidas.
Outras descobertas importantes do relatório incluem:
- Menos de 1/4 (24%) das companhias que pagaram resgates de dados o fizeram com a quantia originalmente solicitada, e 44% dos entrevistados relataram ter pago menos do que a demanda original;
- O pagamento médio do resgate em nível global foi de 94% do pedido inicial. As organizações brasileiras pagaram, em média, 110% da demanda inicial;
- Globalmente, em 82% dos casos, o financiamento do resgate veio de múltiplas fontes – no Brasil, em apenas 31%. No geral, 40% do montante total do resgate veio das próprias organizações e 23% de provedores de seguros;
- 94% das empresas atingidas por ransomware no ano passado afirmaram que os cibercriminosos tentaram comprometer seus backups durante o ataque, dado que aumenta para 99% nos casos de governos estaduais e locais – no Brasil, a taxa geral de tentativas de comprometimento de backup é parecida: 95%;
- Em 57% dos casos, as tentativas de comprometimento de backup foram bem-sucedidas. No Brasil, o número foi semelhante: 58%;
- Em 32% dos incidentes em que os dados foram criptografados, os mesmos também foram roubados – um pequeno aumento em relação aos 30% do ano passado – elevando a capacidade dos atacantes de extorquir dinheiro de suas vítimas. Nessa frente, o Brasil ficou abaixo da média global, com 26%.
“Como defensores, o gerenciamento de riscos é o cerne das nossas atividades. As duas causas mais comuns dos ataques de ransomware, a exploração de vulnerabilidades e as credenciais comprometidas, podem ser evitadas, porém ainda afetam muitas organizações. As empresas precisam avaliar seus níveis de exposição a esses fatores básicos criticamente e resolvê-los o quanto antes. Em um ambiente em que os recursos são escassos, é hora das companhias também imporem custos aos invasores. Somente ao elevar o nível do que é necessário fazer para violar redes é que as organizações podem esperar otimizar seus gastos com defesa”, completa Shier.
A Sophos recomenda as seguintes práticas para ajudar as empresas a se defenderem contra o ransomware e outros tipos de ciberataques:
- Entender o perfil de risco de cada uma, com ferramentas como o Sophos Managed Risk – que pode avaliar a superfície de ataque externo de uma organização, priorizar as exposições mais arriscadas e fornecer uma orientação de correção personalizada;
- Implementar uma proteção de endpoint projetada para impedir uma série de técnicas de ransomware atuais e em constante mudança, como o Sophos Intercept X;
- Reforçar as defesas com detecção, investigação e resposta a ameaças 24 horas por dia, seja por meio de uma equipe interna ou com o apoio de um provedor de detecção e resposta gerenciadas (MDR);
- Criar e manter um plano de resposta a incidentes, além de fazer backups regulares e praticar a recuperação de dados.
Os dados do relatório The State of Ransomware 2024 são provenientes de uma pesquisa independente com 5 mil líderes de segurança cibernética/TI, realizada entre janeiro e fevereiro de 2024, considerando o ano de 2023. Os entrevistados estavam localizados em 14 países das Américas, Europa, Oriente Médio, África e Ásia. As organizações pesquisadas têm entre 100 e 5 mil funcionários, e receitas que variam entre menos de US$ 10 milhões e mais de US$ 5 bilhões.
Leia o relatório State of Ransomware 2024 para as descobertas globais e os dados por setor.
