A taxa de ataques de ransomware diminuiu ligeiramente, mas os custos de recuperação atingiram os 2.73 milhões de dólares.
A Sophos, líder global em soluções de segurança inovadoras que vencem os ciberataques, divulgou a sua investigação anual “State of Ransomware 2024”, que descobriu que o pagamento médio de resgates aumentou 500% no ano passado. As organizações que pagaram o resgate reportaram, em média, um pagamento de 2 milhões de dólares, muito acima dos 400.000$ de 2023. No entanto, os resgates são apenas uma parte do custo – excluindo-os, a investigação descobriu o custo médio de recuperação atingiu os 2.73 milhões de dólares, um aumento de quase 1 milhão de dólares em relação a 2023 ($1.82M).
Apesar do aumento do valor dos resgates, o inquérito deste ano indica uma ligeira redução na taxa de ataques de ransomware: 59% das organizações foram atingidas, em comparação com 66% em 2023. Embora a propensão para se ser atingido por ransomware aumente de acordo com as receitas, mesmo as empresas mais pequenas (com menos de $10M de receitas) continuam a ser alvos de forma regular – praticamente metade (47%) foi atingida por ransomware no último ano.
O relatório de 2024 também revelou que 63% dos pedidos de resgate foram de 1 milhão de dólares ou mais, e 30% dos pedidos de mais de $5M, o que sugere que os operadores de ransomware estão a tentar obter grandes pagamentos. Infelizmente, estes montantes de resgate mais elevados não se aplicam apenas às organizações com mais receitas: no último ano, quase metade (46%) das organizações com receitas inferiores a 50 milhões de dólares recebeu um pedido de resgate na casa dos sete dígitos.
“Não podemos deixar que a ligeira descida nas taxas de ataque nos dê um sentimento de complacência. Os ataques de ransomware continuam a ser a ameaça mais dominante da atualidade e estão a alimentar a economia do cibercrime. Sem ransomware, não veríamos a mesma variedade e volume de ameaças e serviços precursores que alimentam estes ataques,” afirmou John Shier, Field CTO da Sophos. “Os custos crescentes dos ataques de ransomware desmentem que este seja um crime que oferece oportunidades iguais. O panorama do ransomware oferece algo para todos os cibercriminosos, independentemente das suas capacidades. Enquanto alguns grupos se focam em resgates multimilionários, outros contentam-se com quantias mais baixas, compensando-as com um maior volume de ataques.”
Pelo segundo ano consecutivo, a exploração de vulnerabilidades foi a causa raiz mais comummente identificada nos ataques, afetando 32% das organizações. Seguem de perto as credenciais comprometidas (29%) e os emails maliciosos (23%). Isto alinha-se diretamente com as conclusões do mais recente relatório Active Adversary da Sophos, que analisou casos de resposta a incidentes no terreno.
As vítimas cujo ataque começou com a exploração de vulnerabilidades relataram os impactos mais graves na sua organização, com uma taxa mais elevada de comprometimento de cópias de segurança (75%), encriptação de dados (67%) e propensão para pagar o resgate (71%) em comparação com casos em que os ataques começaram com credenciais comprometidas. As organizações inquiridas também reportaram um impacto financeiro e operacional consideravelmente maiores, com um custo médio de recuperação de 3.58 milhões de dólares (vs. $2.58M milhões de dólares quando um ataque começou com credenciais comprometidas) e uma maior proporção de organizações atacadas que demorou mais de um mês a recuperar.
Outras conclusões relevantes do relatório incluem:
- Menos de um quarto (24%) das empresas que procederam aos pagamentos de resgates de ransomware entregou o montante originalmente solicitado, e 44% dos inquiridos referiu ter pago menos do que o pedido original.
- Os pagamentos de ransomware médios foram de 94% do montante pedido inicialmente.
- Em mais de quatro quintos (82%) dos casos, o financiamento do resgate veio de várias fontes. A nível global, 40% do financiamento total do resgate proveio das próprias organizações, e 23% de fornecedores de seguros.
- 94% das organizações atingidas por ransomware no ano passado afirmou que os cibercriminosos tentaram comprometer as suas cópias de segurança durante o ataque, um número que aumenta para 99% na administração pública nacional e local. Em 57% dos casos, as tentativas de comprometer as cópias de segurança foram bem-sucedidas.
Em 32% dos incidentes em que os dados foram encriptados, também foram roubados – um ligeiro aumento vs. os 30% do ano passado –, o que demonstra o aumento da capacidade dos atacantes de extorquir dinheiro às suas vítimas.
“A gestão do risco está no cerne do que fazemos enquanto equipas de defesa. As duas causas principais mais comuns dos ataques de ransomware, a exploração de vulnerabilidades e as credenciais comprometidas, são evitáveis, mas continuam a afetar demasiadas organizações,” prosseguiu John Shier. “As empresas precisam de avaliar criteriosamente os seus níveis de exposição a estas causas e resolvê-los imediatamente. Num ambiente de defesa em que os recursos são escassos, as organizações também têm de impor custos aos atacantes. Só podem esperar maximizar os seus gastos com a defesa se elevarem o nível do que os atacantes vão precisar de fazer para conseguir violar as suas redes.“
A Sophos recomenda as seguintes melhores práticas que as empresas se defendam de ataques de ransomware e outros tipos de ataques:
- Compreender o seu perfil de risco com ferramentas como o Sophos Managed Risk, que consegue avaliar a superfície de ataque externa de uma organização, priorizar as exposições com mais risco e fornecer orientações de correção personalizadas.
- Implementar proteção de endpoints concebida para travar diversas técnicas de ransomware em constante evolução e mudança, como o Sophos Intercept X.
- Reforçar as suas defesas com deteção, investigação e resposta a ameaças 24/7, através de uma equipa interna ou com o apoio de um fornecedor de Deteção e Resposta Geridas (MDR).
- Elaborar e manter um plano de resposta a incidentes, bem como efetuar cópias de segurança regulares e praticar a recuperação de dados a partir delas.
Os dados do relatório “State of Ransomware 2024” provêm de um inquérito agnóstico quanto ao fornecedor, realizado com 5.000 líderes de cibersegurança/TI entre janeiro e fevereiro de 2024. Os inquiridos estão sediados em 14 países das regiões EMEA, Américas e Ásia-Pacífico. As organizações inquiridas têm entre 100 e 5.000 colaboradores e as suas receitas variavam entre menos de 10 milhões de dólares e mais de 5 mil milhões de dólares.
Para se manter a par de todas as novidades no mundo da cibersegurança, visite e subscreva o nosso blog.