As empresas estão perdendo a batalha quando se trata de se defender contra ataques de ransomware, segundo o Veeam® 2022 Ransomware Trends Report, que descobriu que 72% das organizações tiveram ataques parciais ou completos em seus repositórios de backup, impactando drasticamente sua capacidade de recuperar dados sem pagar o resgate.
A Veeam Software, descobriu que 80% dos ataques bem-sucedidos visavam vulnerabilidades conhecidas, reforçando a importância de aplicar patches e atualizar softwares. Quase todos os invasores tentaram destruir repositórios de backup para desativar a capacidade da vítima de se recuperar sem pagar pelo resgate.
O Veeam 2022 Ransomware Trends Report revela os resultados de uma empresa de pesquisa independente que pesquisou 1.000 líderes de TI cujas organizações foram atacadas por ransomware pelo menos uma vez nos últimos 12 meses. O estudo examina os principais aprendizados desses incidentes, seu impacto nos ambientes de TI e as etapas tomadas para implementar estratégias modernas de proteção de dados que garantam a continuidade dos negócios no futuro. O projeto pesquisou especificamente quatro personas de TI (CISOs, profissionais de segurança, gestores de backup e de operações de TI) para entender como as empresas estão se preparando.
“O ransomware democratizou o roubo de dados e exige a colaboração de organizações em todos os setores para maximizar sua capacidade de remediar e recuperar sem pagar o resgate”, disse Danny Allan, CTO da Veeam. “Pagar a cibercriminosos para restaurar dados não é uma estratégia de proteção de dados. Não há garantia da recuperação de dados, os riscos de danos à reputação e perda de confiança do cliente são altos e, o mais importante, isso alimenta uma profecia autorrealizável de que a atividade criminosa compensa.”
Pagar o resgate não é uma estratégia de recuperação
Das organizações pesquisadas, a maioria (76%) das vítimas cibernéticas pagou o resgate para encerrar um ataque e recuperar dados. Infelizmente, enquanto 52% pagaram e conseguiram recuperar os dados, 24% efetuaram o pagamento, mas não conseguiram obter os dados de volta. É evidente que 19% das organizações não pagaram o resgate, porque conseguiram recuperar por conta própria. É isso que os 81% restantes das vítimas devem aspirar – ter os dados de volta sem pagar por eles.
“Uma das marcas de uma forte estratégia de Proteção de Dados Moderna é o compromisso de que a organização nunca pagará o resgate, mas fará tudo ao seu alcance para prevenir, remediar e se recuperar de ataques”, acrescentou Allan. “Apesar da ameaça generalizada e inevitável do ransomware, a narrativa de que as empresas são impotentes diante disso não é real. Eduque os colaboradores e garanta que eles pratiquem uma higiene digital impecável; realize testes rigorosos regularmente de suas soluções e protocolos de proteção de dados; e crie planos detalhados de continuidade de negócios que preparem as principais partes interessadas para os piores cenários.”
A prevenção requer diligência tanto da TI quanto dos usuários
A “superfície de ataque” para os criminosos é diversa. Na maioria das vezes, os cibercriminosos obtiveram acesso aos ambientes de produção por meio de usuários que clicaram em links maliciosos, visitando sites não seguros ou interagindo com e-mails de phishing. Depois de obter acesso ao ambiente com sucesso, houve pouca diferença nas taxas de infecção entre servidores de data center, plataformas de escritório remoto e servidores hospedados em nuvem.
Na maioria dos casos, os invasores aproveitaram vulnerabilidades conhecidas, incluindo sistemas operacionais e hipervisores comuns, bem como plataformas NAS e servidores de banco de dados, não deixando pedra sobre pedra e explorando qualquer software desatualizado ou não corrigido que conseguiram encontrar. Taxas de infecção mais altas foram relatadas por profissionais de segurança e gestores de backup, em comparação com operações de TI ou CISOs, o que implica que “aqueles mais próximos do problema veem ainda mais os problemas”.
A recuperação começa com imutabilidade
Os entrevistados da pesquisa confirmaram que 94% dos invasores tentaram destruir repositórios de backup e em 72% dos casos essa estratégia foi pelo menos parcialmente bem-sucedida. Essa remoção do ciclo de vida de recuperação de uma organização é uma estratégia de ataque popular, pois aumenta a probabilidade de as vítimas não terem outra escolha a não ser pagar o resgate. A única maneira de se proteger contra esse cenário é ter pelo menos uma camada imutável ou air-gapped dentro da estrutura de proteção de dados — que 95% dos entrevistados afirmaram ter agora. Na verdade, muitas organizações relataram algum nível de imutabilidade ou mídia air-gap em mais de uma camada de sua estratégia de disco, nuvem e fita.
Outras descobertas importantes do Veeam 2022 Ransomware Trends Report incluem:
• Orquestração é importante: para garantir proativamente a capacidade de recuperação de seus sistemas, uma em cada seis (16%) equipes de TI automatiza a validação e a capacidade de recuperação de seus backups para assegurar que seus servidores sejam restauráveis. Então, durante a correção de um ataque de ransomware, 46% dos entrevistados usavam uma “sandbox” isolada ou área de teste para garantir que seus dados restaurados estivessem limpos antes de reintroduzir os sistemas em produção.
• Alinhamento unificado: 81% acreditam que as estratégias cibernéticas e de continuidade de negócios/recuperação de desastres de suas organizações estão alinhadas. No entanto, 52% dos entrevistados acreditam que as interações entre essas equipes precisam ser aprimoradas.
• Diversificar os repositórios é a chave: quase todas (95%) as organizações têm pelo menos um nível de proteção de dados imutável ou air-gapped, 74% usam repositórios em nuvem que oferecem imutabilidade; 67% usam repositórios de disco locais com imutabilidade ou bloqueio; e 22% usam fita com air-gap. Imutáveisou não, as organizações observaram que, além dos repositórios de disco, 45% dos dados de produção ainda são armazenados em fita e 62% vão para a nuvem em algum momento do ciclo de vida dos dados.