A Check Point Research (CPR), área de Threat Intelligence da Check Point Software Technologies , fornecedor de soluções de cibersegurança a nível global, partilhou novas conclusões sobre a economia do ransomware depois de analisar a informação do grupo de ransomware Conti e outros conjuntos de dados relacionados com diferentes vítimas de ransomware. A quantia paga de resgate é apenas uma pequena parte do custo efectivo de recuperação de um ataque de ransomware para a vítima – a CPR estima que o custo total seja, na verdade, 7 vezes superior. A CPR analisou ainda a incidência de ataques de ransomware por país entre 2021 e 2022, concluindo que em Portugal, se registou um aumento de 13%.
A CPR analisou 2 conjuntos de dados de forma a obter novas perspectivas sobre o ecossistema do ransomware, estimando que o custo colateral de um ataque de ransomware para as vítimas é 7 vezes superior ao valor que é muitas vezes pago pelas mesmas. O primeiro conjunto de dados foi a base de dados da Kovrr sobre incidentes cibernéticos, que contém informação actualizada sobre ciberataques e o seu respectivo impacto financeiro. O segundo foi a informação do grupo de ransomware Conti. Outra das conclusões a ressaltar prende-se com a forma como é definida a quantia a pedir: de acordo com a investigação, esta depende da receita anual da vítima, variando entre 0.7% e 5% da mesma. A CPR alerta ainda para a diminuição significativa da duração média deste tipo de ataques – de 15 dias em 2021 para 9 em 2022. O objectivo da investigação foi explorar ambos os lados de um ataque deste tipo: o das vítimas e o dos atacantes.
Principais conclusões
- Custo colateral. O resgate pago é uma pequena parte do custo de um ataque de ransomware para a vítima. A CPR estima que o custo total de um ataque deste tipo para a vítima seja 7 vezes superior do que o que é pago aos cibercriminosos, incluindo custos de resposta e restauração, taxas legais e custos de monitorização.
- Quantia pedida. A quantia pedida para resgate de informação depende da receita anual da vítima e varia entre 0,7% e 5% das receitas anuais. Quanto maior for a receita anual da vítima, menor será a percentagem da receita que será exigida, uma vez que essa percentagem representa um valor numérico superior em dólares.
- Duração do ataque. A duração de um ataque de ransomware tem diminuído significativamente em 2021, de 15 dias para 9 dias.
- Regras-base de negociação. Os grupos de ransomware têm regras claramente definidas para uma negociação bem-sucedida com as vítimas, influenciando o processo de negociação e respectivas dinâmicas:
- Estimativa exacta da situação financeira da vítima
- Qualidade dos dados roubados da vítima
- A reputação do grupo de ransomware
- Existência de insegurança cibernética
- A abordagem a interesses dos negociantes da vítima
Ransomware em números
| País/Região | 1 em cada X organizações por semana em 2021 | 1 em cada X organizações por semana em 2022 | Variação entre o 1º Trimestre de 2022 e o 1º Trimestre de 2021 |
| Portugal | 59 | 52 | 13% |
| Europa | 80 | 68 | 16% |
| Mundo | 66 | 53 | 24% |
Significa isto que, em Portugal, no primeiro trimestre de 2022, em média, semanalmente, 1 em cada 52 organizações foi impactada por uma tentativa de ataque de ransomware. Comparando com o período homólogo do ano anterior, registou-se um aumento de 13% do número de tentativas.
Na Europa, o cenário também foi de crescimento, com o 1 em cada 68 organizações a sofrer, por semana, uma tentativa de ataque de ransomware – um aumento de 16% face o ano anterior. Alargando ainda mais o ponto de vista, a CPR concluiu que, no mundo, o aumento entre o primeiro trimestre de 2021 e de 2022 foi de 24%.
Como se proteger de Ransomware
- Backup de dados robustos. O objectivo de um ataque de ransomware é forçar a vítima a pagar o valor de resgate exigido de forma a readquirir acesso aos seus dados que foram encriptados. Contudo, isto só é eficaz se o alvo perder efectivamente o acesso aos seus dados. Uma solução robusta e segura de backup de dados é uma forma eficiente de mitigar o impacto de um ataque de ransomware.
- Formação para a consciência cibernética. E-mails de phishing são uma das formas mais populares de iniciar ataques de ransomware. Ao enganar um utilizador para que clique num link ou anexo malicioso, os cibercriminosos podem obter acesso ao computador do funcionário e iniciar o processo de instalação e execução de um programa de ransomware. Promover formações para uma maior consciência cibernética é crucial para a protecção das organizações.
- Autenticação forte e segura. Garantir uma política de palavras-passe robusta com autenticação multifactor e sensibilizar as equipas para o que são ataques de phishing e para o roubo de credenciais de acesso são componentes críticas da estratégia de cibersegurança de uma organização.
- Patches actualizados. Manter os computadores actualizados e implementar patches de segurança, especialmente aquelas consideradas críticas, pode ajudar a minimizar a vulnerabilidade de uma organização a ataques de ransomware.