Semanalmente, aparecem notícias que uma “nova empresa é vítima de ataque cibernético e sua operação está paralisada”. Trata-se de uma tendência mundial causada por um programa malicioso chamado ransomware, que está cada vez mais seletivo com suas vítimas. A mais recente análise dos especialistas de segurança da Kaspersky na América Latina mostra que esta atividade criminosa busca empresas financeiramente saudáveis e cresceu com a pandemia, registrando um aumento de 149% em 2020 – tendência que se mantém neste ano.
A análise leva em conta os bloqueios de tentativas de ataques realizadas pelas tecnologias da Kaspersky que estão conectadas com sua rede de proteção em nuvem, a Kaspersky Network Security, no período de janeiro de 2019 até o fim de novembro de 2021. Ela também considerou apenas os ransomware “dirigidos”, como por exemplo, Conti, Darkside, Lockbit, Ransomexx, Revil (também conhecido como Sodinokibi ou Sodin), Ryuk, e Wastedlocker. “Como apresentamos no Panorama dos ataques de ransomware na América Latina, esta nova onda de ataques é planejada. Não existe mais soldados atirando à esmo para ver quantas vítimas são feitas, hoje o pensamento do cribercriminoso é de um atirador profissional – um tiro, uma vítima”, explica Roberto Rebouças, gerente executivo da Kaspersky no Brasil.
Este novo comportamento dos golpes dificulta a comparação tradicional de ataques por mês ou um ano contra outro, pois as atividades maliciosas não têm uma frequência constante. Neste caso, comparou-se os meses onde houve atividades incomuns (referência em maio de 2019 e picos em julho de 2020 e setembro de 2021). Esta comparação mostra um crescimento de 149% nos bloqueios de ransomware dirigido – com uma atividade muito similar em 2021: uma leve queda, de 14%, na comparação ano a ano.
Ser vítima de um ransomware significa perdas financeiros pela impossibilidade de operar por dias ou semanas e pela exigência de pagamento de um “resgate” para desbloquear os computadores, servidores e sistemas – em alguns casos, este pedido pode ser milionário. Mas, além do lado financeiro, o que mais assusta os líderes das empresas é o impacto na reputação da empresa. “Nenhum CEO quer ver o nome de sua empresa estampada no noticiário. O impacto disso nos negócios é gigantes e é exatamente por isso que os grupos que se especializaram neste tipo de ataque estão anunciando que foram bem-sucedido em infectar a organização ‘a’ ou ‘b’. A pressão massiva de clientes e órgãos regulatórios criará uma necessidade de urgência, o que acaba aumentando as chances deles de serem pagos”, explica Rebouças.
Como atualmente os ransomware modernos usam tecnologias fortes para bloquear o acesso a dados e sistemas que não podem ser quebrados, o executivo destaca que a prevenção é a única solução possível para evitar “virar notícia”. “Quando você sabe como um golpe funciona, fica fácil impedi-lo, correto? Na teoria sim e nosso time de pesquisadores já detalharam como todos esses ransomware funcionam. Porém, na vida real, as empresas dependem de processos bem executados, do fator humano e da aprovação dos chefes”, explica o executivo.
Rebouças reforça que os ataques são planejados, portanto basta uma peça fora do lugar para permitir o golpe. “Você já tentou impedir que mosquitos atrapalhassem seu sono? Você usa loção repelente, repelentes de tomada, grades em todas as janelas – tudo isso funciona e cria um sentimento de segurança. Mas basta uma falha – esquecer de ligar o equipamento ou um pequeno furo na treliça – para acordar picado. Com o ransomware não é diferente. Os criminosos têm o tempo e a vontade para tentar diariamente ser bem-sucedido na invasão, basta eles acharam um login usando uma senha simples, um sistema configurado incorretamente ou uma solução de proteção ineficaz para chegar ao seu objetivo.”
Considerando as principais falhas, a Kaspersky recomenda as seguintes medidas para impedir ser vítima de ransomware:
1.Saibam quais são as possíveis falhas em seus sistemas, rede e estrutura. É possível realizar uma auditoria interna ou avaliar serviços de diagnósticos de segurança externos, como simulações de phishing ou pesquisas de ameaças na darkweb e deepweb.
2.Avalie o conhecimento de seus funcionários. Verifique se o time de segurança tem as informações necessárias para avaliar as defesas contra ransomware e pode planejar ações de resposta a incidentes que previnam que um incidente seja bem-sucedido. Caso não haja o conhecimento especializado, há cursos de capacitação disponíveis. Também avalie se os funcionários em geral contam com o conhecimento básico para evitar cair em golpes. Um clique pode permitir o acesso do criminoso à rede. Neste caso, mantenha uma rotina de treinamentos de conscientização em segurança para todos os profissionais, customizando os módulos para atender às necessidades específicas.
3.Ateste regularmente que suas defesas estão performando em alto nível. Hoje, existem diversas tecnologias que permitem uma ação proativa para impedir um ataque, como relatórios de Threat Inteligence; tecnologias EDR; serviço de descoberta de ataques em curso; análise de testes; além de checagem regular de cópias de segurança, com garantia de que os arquivos estejam corretos para permitir uma retomada rápidas das operações.
