Ransomware se torna mais sofisticado e já atingiu metade das empresas do Brasil

Uma parcela de 55% das empresas brasileiras foram atingidas por pelo menos um golpe de ransomware em 2021, um dado que acompanha a média global de crescimento no número de ataques e serve apenas como porta de entrada para um cenário de maior sofisticação e profissionalização do cibercrime. A ideia transmitida pela Sophos, em um levantamento sobre o estado desse aspecto da cibersegurança no no que passou, é de que ninguém, na realidade, está imune.

• O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la
• Brasil é o segundo país mais atacado por novo ransomware

Prova disso é que o Brasil não aparece mais na liderança do ranking de países mais atingidos por ataques de ransomware; o país saiu do top 5 nos últimos anos para a penúltima colocação entre os analisados. Não é boa notícia, mas sim, um sinal de que o perigo está mais pulverizado, atingindo a todos em um setor cibercriminoso que cria seu próprio ecossistema econômico, com mais e mais interessados nos ganhos financeiros oriundos dos golpes.

“A quantidade de empresas atacadas hoje é muito maior. Perdemos posição não porque somos menos atacados, mas sim porque os outros países sofreram mais”, explica Rafael Foster, engenheiro sênior de vendas da Sophos. Prova disso é que, em 2020, eram 38% das empresas atingidas por ransomware, enquanto o aumento para 55% acompanha a média global, que foi de 37% em 2020 para 66% em 2021.

As quadrilhas também estão mais organizadas e viram no ransomware o meio mais rápido de obter lucros. Segundo as informações da empresa de segurança, 79% das respostas a incidentes registradas no último ano foram relacionadas ao sequestro digital, mantendo a tendência de crescimento ao longo dos últimos cinco anos e sem o menor sinal de desaceleração. Muito pelo contrário, com o avanço do segmento, o perigo se torna cada vez maior.

“O sequestro digital se tornou um modelo muito mais modular, com os atacantes oferecendo os ataques como serviço a agentes que não tenham experiência técnica no comprometimento de sistemas”, aponta Foster. Essa organização de ransomware como serviço (ou RaaS, na sigla em inglês), com direito a plataformas de contato e entrega de soluções, além da divisão de valores após o pagamento de um resgate, se mostra como a tendência mais forte para os próximos anos

Outros dados comprovam isso. Enquanto as três famílias mais poderosas de ransomware concentram a maior parte dos ataques registrados no Brasil no ano passado — Conti (16%), REvil (15%) e Ryuk (9%) —, 35 novas cepas de pragas surgiram ao longo do período e representaram 43% dos ataques. São novos desafios para as empresas de segurança e também uma pulverização de golpes que não enxergam mais fronteiras, setores ou elementos diplomáticos, mas sim, os dólares.

Ransomware: o buraco negro do cibercrime

Foster faz uma comparação espacial para mostrar como, aos poucos e cada vez mais, o sequestro digital vem se tornando o centro de todo o ecossistema cibercriminoso. O que antes eram infecções diretas e focadas se tornaram comprometimentos furtivos, que aguardam a melhor oferta para agir; onde antes se instalavam malwares, agora entram os chamados droppers, que servem como vetor de entrada para novas pragas ao gosto do freguês.

A Sophos fala, também, de um mercado amplamente acelerado. Falar que os criminosos não possuem compromisso algum com as vítimas não é novidade, mas isso se traduz em números quando vemos que apenas 55% dos dados criptografados após um ataque de ransomware são recuperados após pagamento. No mundo, somente 8% das companhias conseguem reaver a integralidade das informações travadas, menos da metade do que foi registrado em 2020.

“As ferramentas usadas pelos atacantes não possuem 100% de eficácia e são testadas em uma amostra pequena de dados. Na hora de retirar a criptografia, podem acabar não funcionando perfeitamente”, explica Foster, citando mais um entre tantos motivos para a indicação de que as empresas não devem negociar com os criminosos. “Os motivos são compreensíveis, diante do desespero, mas o pagamento permite que os criminosos adquiram recursos e contratem pessoal para ampliar os ataques. No final, estamos financiando esse mercado.”

O levantamento da Sophos também demonstra uma espécie de luta contra o relógio, que também explica bem porque os golpes se tornam cada vez mais agressivos e comuns. Na mesma medida em que mais e mais golpes acontecem, também aumenta a pressão de governos para que as empresas não realizem pagamentos e procurem alternativas de resiliência e defesa, em uma mistura que levou a uma queda na média global de pagamentos, que hoje é de US$ 812,3 mil.

No Brasil, esse total caiu pela metade, de US$ 571,5 mil em 2020 para US$ 211,7 mil em 2021, na medida em que as empresas tentam se preparar da melhor maneira possível. Segundo a Sophos, 97% das companhias nacionais foram capazes de recuperar dados, ainda que não inteiramente, e 73% dependeram de backups para isso. Por outro lado, o número de resgates pagos aos criminosos quase dobrou, de 22% para 40% no ano passado.

Para Foster, a falta de legislações específicas sobre ransomware no Brasil contam parte da história, enquanto prejuízos oriundos da paralisação das operações, danos à imagem e custos em recuperação completam o cenário. O especialista aponta um tempo médio de um mês para restabelecimento completo após um golpe desse tipo, com média de gastos na casa dos US$ 690 mil, quase metade da média global, de US$ 1,4 milhão, devido à desvalorização de nossa moeda.

“O plano de recuperação de ransomware precisa fazer parte do pensamento primordial das empresas. Hoje, temos setores mais ágeis com infraestrutura, tecnologia e backups que realizam [esse processo] mais rapidamente que outros, justamente os alvos principais”, completa ele. Do lado veloz desse espectro estão os serviços financeiros e industriais, enquanto do outro, em um panorama crítico, aparecem governos e universidades.

Pilares de defesa e o caminho a seguir

O estudo da Sophos também se debruçou sobre os mecanismos usados pelas companhias para se defenderem de golpes desse tipo. Seguros aparecem no topo: 85% das corporações do Brasil contam com proteções desse tipo, mas só 46% delas incluem a defesa contra golpes de ransomware.

O levantamento também aponta uma constatação perigosa, que costuma ser percebida no pior momento possível: o seguro não se aplica quando os ataques decorrem de más práticas de segurança digital, sistemas legados inseguros e questões estruturais. De um lado, mais prejuízo e o choque ao saber que o garantido não era tanto assim, de outro, conforme aponta Foster, pode estar o mapa para maior resiliência.

“Olhando as cláusulas [dos seguros], as empresas podem saber onde agir e acabam melhorando as defesas de maneira geral”, explica ele. De acordo com os dados da Sophos, 70% dos protegidos por soluções desse tipo também investiram em novas tecnologias, enquanto 55% realizaram mais treinamentos e 48% alteraram processos de forma a se adequarem às exigências de proteção.

Ainda que o panorama seja positivo, o especialista aponta que o melhor é agir antes do problema, com atitudes de proteção e defesa. “Essa mensagem não está clara para as companhias. Ter ferramentas [de recuperação e seguro] é importante, mas não deve ser encarado como a salvação”, aponta.

Soluções focadas, como a apresentada pela Sophos na inauguração de um data center brasileiro focado em ameaças que atingem o setor nacional, também auxiliam nas tarefas de defesa. A chave está no gerenciamento de sistemas por fornecedores, que trabalham a quatro mãos com a própria companhia para entregar inteligência e análise focada no setor produtivo e no tipo de perigo ao qual cada organização está sujeita.

“O Brasil é o quinto país do mundo em adoção da nuvem, mas ainda é muito vulnerável. Muitas corporações utilizam infraestruturas internacionais, com foco global, que deixam de lado necessidades regionais”, adiciona Oscar Chavez-Arrieta, vice-presidente da Sophos para a América Latina. Legislações nacionais, redução de latência e o aumento da visibilidade, além da maior agilidade na tomada de ação, são citados por ele como elementos que levaram a empresa a investir em uma operação local.

O fortalecimento do ambiente, com a detecção de vetores de entrada como softwares desatualizados, contas mal configuradas e senhas inseguras, caminha ao lado da garantia de defesas de alta qualidade. Monitoramento, IA, sistemas de inteligência de ameaças e bloqueios automatizados também ajudam a deter golpes antes que seja tarde demais. “Quanto mais diminuirmos a exposição, maior a chance de recuperação sem depender de backups e seguradoras”, completa Foster.