De acordo com o relatório global State of the Phish, da Proofpoint, 91% das organizações brasileiras infectadas por ransomware pagaram resgate em 2022 e muitas (29%) o fizeram mais de uma vez. Dentre as empresas consultadas, 92% contavam com uma apólice de seguro cibernético para ataques dessa natureza e a maioria das seguradoras estava disposta a pagar o resgate parcial ou integralmente (93%), 11 pontos percentuais acima da média global.
Essa é a primeira vez que a Proofpoint inclui dados do Brasil na pesquisa. Foram ouvidos 500 profissionais brasileiros e 50 profissionais de TI por meio de questionários. O levantamento aponta também que 58% das empresas locais sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido. No entanto, sete em cada 10 recuperaram o acesso aos seus dados após o pagamento de resgate. O cenário de ações maliciosas desta natureza segue crítico, 48% dos entrevistados brasileiros disseram que sua organização sofreu vários ataques de ransomware em períodos diferentes.
Rogério Morais, vice-presidente da América Latina e Caribe na Proofpoint, explica que as autoridades recomendam que as empresas não paguem o resgate porque, além de incentivar os ataques, não há garantias de que o pagamento trará resultado positivo. “À medida que mais organizações adotam apólices de seguro cibernético que cobrem ransomware, vemos uma tendência de aumento nos pagamentos, não apenas no Brasil, mas globalmente. O objetivo é a recuperação dos dados perdidos durante o ataque”, destaca o executivo em entrevista à Security Report.
Apesar dos riscos em aderir ao pagamento, cerca de 71% das vítimas recuperam os dados após fazerem o pagamento. Moraes explica que muitas empresas são obrigadas a fazerem mais pagamentos, enquanto outras nunca recebem acessos aos dados de volta. “É essencial estabelecer uma estratégia de cibersegurança previamente alinhada entre CISO e membros do conselho. Desta forma, há um plano de contingência que entra em vigor em casos de ataques e a empresa pode avaliar o melhor caminho a ser seguido de acordo com a sua estratégia individual”, pontua Morais.
Phishing
De acordo com o estudo, oito em cada 10 empresas brasileiras (78%) tiveram, ao menos, uma experiência de ataque de phishing por e-mail bem-sucedido em 2022 e 23% sofreram perdas financeiras como resultado deste tipo de ação maliciosa. Em comparação com o ransomware, o phishing é predominante no Brasil.
Globalmente, o estudo aponta que foram mais de 18 milhões de e-mails relatados por usuários finais e 135 milhões de ataques de phishing simulados enviados durante o período de um ano. De acordo com Moraes, os ataques de comprometimento de e-mail, conhecido como BEC, não envolvem malware. “Em vez disso, os criminosos utilizam apenas a engenharia social como forma de enganar usuários para que ajam em nome do invasor. Ao fazer isso, eles podem pedir para que a vítima divulgue dados sensíveis ou faça pagamentos falsos em nome da empresa”, completa o executivo.
A Proofpoint observou quase 1.600 campanhas que envolveram o uso de marca em sua base global de clientes. Embora a Microsoft tenha sido a marca mais utilizada, com mais de 30 milhões de mensagens usando o seu nome ou apresentando um produto como Office ou OneDrive, outras empresas regularmente foram exploradas por cibercriminosos em campanhas de phishing, incluindo Google, Amazon, DHL, Adobe e DocuSign.
Considerando o volume de ataques de personificação de marca, três em cada cinco (60%) funcionários brasileiros consideram que um e-mail é seguro quando contém uma marca familiar, 16 pontos acima da média global. Além disso, 80% acham que um endereço de e-mail sempre corresponde ao site proprietário da marca, 17 pontos a mais que a média global.
Conscientização
O relatório também examina as percepções de 7.500 funcionários e 1.050 profissionais de Segurança em 15 países, revelando lacunas na conscientização sobre Cyber Security e educação cibernética. Foi identificado que a maioria dos funcionários sofre com falhas em cultura de SI, mesmo as ameaças cibernéticas básicas ainda não são bem compreendidas. Mais de um terço dos entrevistados não consegue definir “malware”, “phishing” e “ransomware”.
Apesar disso, 71% das organizações brasileiras afirmaram possuir um programa de conscientização de SI, com treinamentos em toda a sua força de trabalho. Destas, 31% realizam simulações de phishing. “A falta de conscientização e os comportamentos negligentes de Segurança demonstrados pelos colaboradores criam riscos substanciais para as empresas e seus dados. Como o e-mail continua sendo o método de ataque preferido desses criminosos e eles se ramificam para técnicas muito menos familiares aos funcionários, há um valor claro na construção de uma cultura de Segurança que abranja toda a organização”, conclui Rogério Morais.