Análise da empresa indica ainda os motivos deste golpe estar tão na moda e as razões pelas quais gestores o temem.
Semanalmente, aparecem notícias que uma “nova empresa é vítima de ataque cibernético e sua operação está paralisada”. Trata-se de uma tendência mundial causada por um programa malicioso chamado ransomware, que está cada vez mais seletivo com suas vítimas. A mais recente análise dos especialistas de segurança da Kaspersky na América Latina mostra que esta atividade criminosa busca empresas financeiramente saudáveis e cresceu com a pandemia, registrando um aumento de 149% em 2020 - tendência que se mantém neste ano.
A análise leva em conta os bloqueios de tentativas de ataques realizadas pelas tecnologias da Kaspersky que estão conectadas com sua rede de proteção em nuvem, a Kaspersky Network Security, no período de janeiro de 2019 até o fim de novembro de 2021. Ela também considerou apenas os ransomware “dirigidos”, como por exemplo, Conti, Darkside, Lockbit, Ransomexx, Revil (também conhecido como Sodinokibi ou Sodin), Ryuk, e Wastedlocker. “Como apresentamos no Panorama dos ataques de ransomware na América Latina, esta nova onda de ataques é planejada. Não existe mais soldados atirando à esmo para ver quantas vítimas são feitas, hoje o pensamento do cribercriminoso é de um atirador profissional – um tiro, uma vítima”, explica Roberto Rebouças, gerente executivo da Kaspersky no Brasil.
Este novo comportamento dos golpes dificulta a comparação tradicional de ataques por mês ou um ano contra outro, pois as atividades maliciosas não têm uma frequência constante (veja gráfico abaixo). Neste caso, comparou-se os meses onde houve atividades incomuns (referência em maio de 2019 e picos em julho de 2020 e setembro de 2021). Esta comparação mostra um crescimento de 149% nos bloqueios de ransomware dirigido – com uma atividade muito similar em 2021: uma leve queda, de 14%, na comparação ano a ano.
Ser vítima de um ransomware significa perdas financeiros pela impossibilidade de operar por dias ou semanas e pela exigência de pagamento de um “resgate” para desbloquear os computadores, servidores e sistemas – em alguns casos, este pedido pode ser milionário. Mas, além do lado financeiro, o que mais assusta os líderes das empresas é o impacto na reputação da empresa. “Nenhum CEO quer ver o nome de sua empresa estampada no noticiário. O impacto disso nos negócios é gigantes e é exatamente por isso que os grupos que se especializaram neste tipo de ataque estão anunciando que foram bem-sucedido em infectar a organização ‘a’ ou ‘b’. A pressão massiva de clientes e órgãos regulatórios criará uma necessidade de urgência, o que acaba aumentando as chances deles de serem pagos”, explica Rebouças.
Como atualmente os ransomware modernos usam tecnologias fortes para bloquear o acesso a dados e sistemas que não podem ser quebradas, o executivo destaca que a prevenção é a única solução possível para evitar “virar notícia”. “Quando você sabe como um golpe funciona, fica fácil impedi-lo, correto? Na teoria sim e nossa time de pesquisadores já detalharam como todos esses ransomware funcionam. Porém, na vida real, as empresas dependem de processos bem executados, do fator humano e da aprovação dos chefes”, explica o executivo.
Rebouças reforça que os ataques são planejados, portanto basta uma peça fora do lugar para permitir o golpe. “Você já tentou impedir que mosquitos atrapalhassem seu sono? Você usa loção repelente, repelentes de tomada, grades em todas as janelas – tudo isso funciona e cria um sentimento de segurança. Mas basta uma falha - esquecer de ligar o equipamento ou um pequeno furo na treliça – para acordar picado. Com o ransomware não é diferente. Os criminosos têm o tempo e a vontade para tentar diariamente ser bem-sucedido na invasão, basta eles acharam um login usando uma senha simples, um sistema configurado incorretamente ou uma solução de proteção ineficaz para chegar ao seu objetivo.”
Considerando as principais falhas, a Kaspersky recomenda as seguintes medidas para impedir ser vítima de ransomware:
- Saibam quais são as possíveis falhas em seus sistemas, rede e estrutura.
É possível realizar uma auditoria interna ou avaliar serviços de diagnósticos de segurança externos, como simulações de phishing ou pesquisas de ameaças na darkweb e deepweb.
- Avalie o conhecimento de seus funcionários.
Verifique se o time de segurança tem as informações necessárias para avaliar as defesas contra ransomware e pode planejar ações de resposta a incidentes que previnam que um incidente seja bem-sucedido. Caso não haja o conhecimento especializado, há cursos de capacitação disponíveis. Também avalie se os funcionários em geral contam com o conhecimento básico para evitar cair em golpes. Um clique pode permitir o acesso do criminoso à rede. Neste caso, mantenha uma rotina de treinamentos de conscientização em segurança para todos os profissionais, customizando os módulos para atender às necessidades específicas.
- Ateste regularmente que suas defesas estão performando em alto nível.
Hoje em dia, existem diversas tecnologias que permitem uma ação proativa para impedir um ataque, como:
- Relatórios de Threat Inteligence com informações sobre a descoberta, modus operantes e formas de identificar cada novo ransomware na infraestrutura corporativa.
- Tecnologias EDR que oferecem detecção avançada de atividades maliciosas.
- Serviço de descoberta de ataques em curso, que realiza um checkup profundo dos sistemas, rede e equipamentos para avaliar pontos fracos na defesa corporativa. Este diagnóstico pode ser feito anualmente ou sempre que haja suspeitas de atividades maliciosas.
- Analise testes comparativos ou realize análises internas para assegurar uma proteção real. Recentemente o laboratório AV-Test publicou um relatório específico de proteção contra ransomware.
- Cheque regularmente as cópias de segurança. É comum as empresas executarem a criação dos backups e no momento seguinte que o processo termina, o arquivo fica intocável. Infelizmente, erros são comuns e uma cópia pode existir, mas estar com erro. Garanta que os arquivos estejam corretos para permitir uma retomada rápidas das operações.
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em http://www.kaspersky.com.br.