Mercado abrirá em 9 hs
  • BOVESPA

    113.282,67
    -781,33 (-0,68%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.105,71
    -358,59 (-0,70%)
     
  • PETROLEO CRU

    74,90
    +0,92 (+1,24%)
     
  • OURO

    1.758,80
    +7,10 (+0,41%)
     
  • BTC-USD

    44.046,55
    +1.849,51 (+4,38%)
     
  • CMC Crypto 200

    1.098,69
    -4,37 (-0,40%)
     
  • S&P500

    4.455,48
    +6,50 (+0,15%)
     
  • DOW JONES

    34.798,00
    +33,20 (+0,10%)
     
  • FTSE

    7.051,48
    -26,87 (-0,38%)
     
  • HANG SENG

    24.292,52
    +100,36 (+0,41%)
     
  • NIKKEI

    30.282,81
    +34,00 (+0,11%)
     
  • NASDAQ

    15.368,75
    +50,00 (+0,33%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2570
    +0,0014 (+0,02%)
     

Ransomware: é melhor pagar ou não o resgate?

·6 minuto de leitura

Poucas situações são tão caóticas e amedrontadoras no mercado atual quanto um ataque de ransomware que interrompe sistemas, rouba dados e gera forte extorsão. Aconteceu com empresas gigantes, como a petrolífera Saudi Aramco e a distribuidora Colonial Pipelina; no Brasil, Renner e JBS estão na lista. Para muitas, a notícia de um ataque logo acompanha a revelação, vezes oficial, vezes não, de que um valor foi pago aos bandidos para encerrar o caso e restabelecer o sistema.

Olhando a catástrofe, já dá para entender o porquê, com os números mostrando isso ainda mais. De acordo com um levantamento da Sophos, feito em abril, o custo médio de recuperação de um ataque de ransomware em 2021 é de US$ 1,8 milhão, um total que envolve os prejuízos decorrentes da parada das operações, protocolos de recuperação, danos à imagem e até multas por órgãos governamentais. Enquanto isso, o resgate médio pago é de US$ 170,4 mil.

Por outro lado, a mesma pesquisa mostra o outro lado dessa equação — segundo os números, apenas 8% das empresas que pagam o resgate conseguem reaver os dados e o funcionamento dos seus sistemas, enquanto destas, 29% relatam terem recebido um pouco mais da metade do que foi perdido, apenas. O negócio, no final, não parece ser tão bom assim, a não ser para os criminosos, que continuam vendo os lucros em alta na medida em que realizam mais e mais ataques.

“O número de ataques de ransomware está crescendo por um motivo simples: os resgates estão sendo pagos. A disposição [para fazer isso] cria um ciclo perigoso e aumenta a motivação dos atacantes”, explica Fernando de Falchi, gerente de engenharia de segurança da Check Point Softwares Brasil. Tal comportamento também foi o responsável direto pelo surgimento dos ransomwares como serviço, com quadrilhas criminosas vendendo soluções de ataque e até prestando suporte técnico a outros interessados, com os lucros resultantes de um golpe sendo divididos entre os envolvidos.

<em>A distribuidora de combustível Colonial Pipeline está entre as gigantes que, após serem atacadas, confirmaram o pagamento de resgate aos autores do ransomware (Imagem: Divulgação/Colonial Pipeline)</em>
A distribuidora de combustível Colonial Pipeline está entre as gigantes que, após serem atacadas, confirmaram o pagamento de resgate aos autores do ransomware (Imagem: Divulgação/Colonial Pipeline)

Aumentou, também, a abrangência desse tipo de crime. De acordo com os dados da empresa de segurança, 40% das famílias de ransomware em atividade hoje realizam não apenas a criptografia, mas também desviam as informações para aumentar a superfície de extorsão. De Falchi aponta ainda para uma terceira característica, ainda em ascensão, na qual clientes, fornecedores e parceiros, expostos em tais vazamentos, também são contatados para que paguem, em troca de não terem seus dados confidenciais divulgados.

“Os cibercriminosos estão constantemente aprimorando suas técnicas para aumentar a pressão quanto aos pagamentos, [mas] a prioridade das empresas deve ser garantir a segurança dos dados dos clientes e descobrir a origem do ataque”, aponta de Falchi. De acordo com ele, manter a calma, entender o que está acontecendo, fazer contato com as equipes de segurança e registrar a nota de resgate para futuras investigações são os primeiros passos, antes mesmo de uma companhia pensar em pagar ou não.

Defesa e recuperação

Um ataque de ransomware costuma ser a culminação de uma intrusão, com os atacantes responsáveis já presentes na rede há algum tempo, coletando informações e se movimentando lateralmente como forma de causar o maior dano possível. Isso vale, inclusive, para momentos após um eventual pagamento, já que de acordo com o especialista, acertar o resgate nem sempre significa o fim da ameaça; se o malware ainda estiver dentro da rede corporativa, ele pode bloquear tudo outra vez.

<em>De acordo com especialista, o sequestro digital em si é a última etapa de um ataque, com processos e salvaguardas devendo ser revistos para entender o que falhou; apenas pagar não é garantia de que tudo vai ficar bem (Imagem: Divulgação/Check Point)</em>
De acordo com especialista, o sequestro digital em si é a última etapa de um ataque, com processos e salvaguardas devendo ser revistos para entender o que falhou; apenas pagar não é garantia de que tudo vai ficar bem (Imagem: Divulgação/Check Point)

Por isso, antes de assinar qualquer cheque, o representante da Check Point sugere que as vítimas realizem uma checagem de backups, um processo demorado, mas que pode restabelecer as máquinas atingidas a partir das informações salvas. Além disso, o ideal é isolar os sistemas comprometidos, já que isso ajuda a identificar a origem da contaminação e, também, evita que ela continua se disseminando, bem como dificulta aos atacantes a cobertura de seus rastros.

“Um ataque de ransomware geralmente começa com outra ameaça, muitas vezes, um e-mail de phishing ‘simples’. Descobrir a primeira máquina infectada e qual era a brecha é importante [nessa avaliação]”, segue de Falchi, ressaltando o caráter educativo das estratégias de proteção. Orientar colaboradores, parceiros e qualquer indivíduo que tenha acesso ao sistema é essencial, já que a engenharia social segue como a principal arma dos criminosos em golpes de sequestro digital.

Paralelamente, também estão as vulnerabilidades conhecidas e as brechas comuns, mitigadas com políticas constantes de atualização de sistemas e aplicação de patches. Instalar sistemas de proteção, inteligência e análise de ameaças também ajuda a manter os sistemas protegidos. Muitas destas ferramentas, inclusive, são focadas em ransomware, sendo capazes de detectar a abertura e travamento de arquivos em sucessão, impedindo tais atividades antes que elas se disseminem pela rede.

“Caso os fatores humanos ou a tecnologia falhem, [a empresa] deve passar por todos os processos novamente e repensar sua estratégia para garantir que um incidente semelhante nunca aconteça novamente”, completa de Falchi. “Essa é uma etapa necessária para quem pagou o resgate ou não, nunca se pode ficar confortável com a recuperação dos dados ou considerar o incidente resolvido [antes disso].”

Mirando no ponto fraco

O especialista da Check Point também aponta para algumas peculiaridades dos ataques de ransomware, com os criminosos tentando aumentar sua eficácia ao atingirem as empresas nos pontos mais críticos. Ele indica a atenção especial aos finais de semana e feriados, já que os bandidos aproveitam a folga e os momentos de menos gente trabalhando para agir, sabendo que, nestes casos, uma resposta também deve demorar a chegar.

<em>Para Fernando de Falchi, gerente de engenharia de segurança da Check Point Softwares Brasil, a colaboração entre especialistas, colaboradores e autoridades é um bom caminho para frear o crescimento no volume de ataques de ransomware (Imagem: Divulgação/Check Point)</em>
Para Fernando de Falchi, gerente de engenharia de segurança da Check Point Softwares Brasil, a colaboração entre especialistas, colaboradores e autoridades é um bom caminho para frear o crescimento no volume de ataques de ransomware (Imagem: Divulgação/Check Point)

Ao ser sequestrada digitalmente, uma empresa também deve interromper as atualizações automáticas de sistemas infectados e outras tarefas de manutenção, bem como evitar reinicializações de sistema ou a manipulação de dados contaminados. “Excluir arquivos temporários ou fazer outras alterações poderá complicar desnecessariamente as investigações e correções”, completa de Falchi.

Legislações regionais, como é o caso da nossa Lei Geral de Proteção de Dados (LGPD) também podem exercer pressão extra em caso de ataque. Aqui, não há outra recomendação a não ser seguir o protocolo e agir de acordo com a regulação, já que um comportamento inadequado durante a crise pode levar a multas e outras punições, assim como práticas inadequadas de gestão e proteção de dados — as penas, aqui, podem vir mesmo sem um vazamento.

Ao mesmo tempo, o especialista cita o trabalho ao lado das autoridades como importante para reduzir os números de ataques e ampliar a proteção das empresas. O ideal é ser transparente com autoridades e funcionários, explicando o que ocorreu e fornecendo instruções sobre como agir em caso de comportamento suspeito. “Na luta contra o cibercrime, a colaboração é fundamental”, completa de Falchi.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos