A nova ameaça do ransomware

Encriptar e apagar dados já não é suficiente, até porque as organizações têm investido cada vez mais em cibersegurança e há cada vez mais backups. Se uma estratégia de disaster recovery for bem implementada, este tipo de ataques até pode ter um impacto relativamente baixo.

Roubar e ameaçar divulgar publicamente informações confidenciais é mais aliciante para quem ataca; as organizações não procuram divulgar os seus segredos de negócio. A probabilidade de um resgate ser pago se a informação puder ser divulgada é maior do que se for ‘apenas’ encriptar e apagar os dados da organização.

Nos últimos dois anos, as organizações têm assistido a um crescimento neste tipo de ataques. Se o ransomware em si tem crescido quase de mês a mês – potenciado, também, pela pandemia e com o trabalho remoto – o ransomware de dupla extorsão tem sido a arma de escolha para muitos cibercriminosos.

Crescimento rápido

Ransomware é, atualmente, “o tipo de ataque com maior crescimento, dado os ganhos substanciais que os criminosos conseguem com esta atividade num curto espaço de tempo”, partilha António Ribeiro, Cyber Security Manager da Claranet Portugal. Na verdade, tem-se assistido não só a uma maior quantidade de ataques “mais criativos na forma de disseminar o malware”, mas também com um foco maior em dispositivos móveis. Este tipo de ataques, segundo alguns dados, “quase triplicou no último ano”.

Alberto R. Rodas, Sales Engineer Manager da Sophos Iberia, indica que os “cibercriminosos continuam a ver que o ransomware é um negócio multimilionário e, por isso continuam a desenvolvê-lo”. Inclusive, há grupos que têm uma área de suporte técnico para as vitímas menos especialistas em criptomoedas ou tecnologia no geral. “Parece uma piada, mas replicaram a estrutura de organizações legítimas para os seus fins maliciosos”, acrescenta.

Se inicialmente o ransomware era distribuído por emails maliciosos criados para levar o utilizador a executar o ficheiro, hoje “esta técnica está cada vez mais evoluída e incorpora técnicas avançadas de evasão à deteção”, explica Nuno Cândido, IT Operations, Cloud & Security Associate Director na Noesis. Através da exploração de “inúmeras vulnerabilidades”, hoje, o ransomware procura “comprometer toda a organização. É cada vez mais comum assistirmos a casos de organizações que ficam com o seu parque informático comprometido na sua totalidade, e em poucos minutos”.

Segundo Bruno Duarte, Security Engineer da Check Point Software Solutions, os ataques de ranswomare rapidamente “evoluíram para um cenário em que os atacantes se apoderam da informação antes de ser encriptada, na maior parte das vezes informação privilegiada e estratégica para a empresa”, ameaçando expô-la publicamente caso a quantidade não seja paga.

Realidade portuguesa

Portugal não é uma exceção e as organizações nacionais também sofrem com este tipo de ataques. Com o objetivo de se protegerem, as organizações nacionais têm, de acordo com Nuno Cândido, aumentado o seu investimento “em ferramentas de proteção de email e no treino dos utilizadores para detetar tentativas de phishing”, até porque “é fundamental que as organizações estejam atentas a este fenómeno e que apostem não só na sua proteção, mas também na sensibilização dos seus colaboradores”.

Bruno Duarte partilha que as organizações se têm preocupado cada vez mais com este tipo de ataques, percebendo os perigos e as suas consequências. No entanto, essa preocupação chega, por vezes, tarde de mais. “Apesar de serem tomadas algumas medidas para o aumento do nível de segurança, os ataques também aumentam quer em número, quer em sofisticação”, diz.

Salientando que, em muitos casos, as organizações seguem o ditado de ‘casa roubada, trancas à porta’, António Ribeiro afirma que se tem assistido “progressivamente a bons exemplos em que as organizações se preparam para, em primeiro lugar, não sofrerem o ataque e, em segundo, caso tal aconteça, minimizarem o impacto do mesmo”.

Já Alberto R. Rodas indica que “não encontramos nenhuma incidência extra ou diferente nas empresas portuguesas em relação, por exemplo, ao resto da Península Ibérica. No fundo, continuam a sofrer ataques, muitos deles globais e não específicos do território. Por outro lado, este tipo de ataques é um tema recorrente em muitas reuniões de direção de empresas de todas as dimensões e isso faz com que estejam determinadas a investir em ferramentas realmente úteis que lhes permitam defender-se contra estas novas ameaças”.

Minimizar os danos

É um facto que nenhuma empresa está 100% segura, mas é possível minimizar, primeiro, o risco de sofrer um ciberataque e, quando se sofrer esse ciberataque, minimizar o impacto que ele tem organização.

Para Bruno Duarte, o roadmap das empresas com o objetivo de minimizar os danos, deve ter em conta a educação dos utilizadores, especialmente no que diz respeito a ataques de phishing; a atualização de software e instalação de patches; utilização de sistemas de segurança e monitorização para os vários vetores de ataque; uma política de backups de informação que permita recuperar os dados e, “não menos importante”, a segmentação ou limitação da informação.

António Ribeiro, da Claranet, indica que é preciso uma deteção atempada do ataque, uma vez que, na maioria dos casos, existem informações que podem indicar que um ataque está prestes a acontecer. Depois, é preciso uma contenção rápida para minimizar a extensão dos ataques. Por fim, é importante um rápido retorno das operações à normalidade, que se consegue através de uma preparação antecipada.

Nuno Cândido, da Noesis, explica que “a única garantia de recuperação de um ataque de ransomware é a reposição de backups” e que é “imperioso rever a política de backups”. Depois, e uma vez que a grande percentagem dos ataques tem como ponto de origem o email e são provocados por erro humano, importa aumentar o treino e a formação dos utilizadores e é “altamente aconselhável rever e modernizar os sistemas de proteção de email”.

Para Alberto R. Rodas, da Sophos, é importante “apostar em serviços de SOC 24/7 com gestão de ferramentas de segurança de alta eficácia, porque muitas vezes vemos empresas com excelentes ferramentas de cibersegurança, mas sem um serviço a suportá-las. Quando assim é, os ataques feitos em horário noturno não são imediatamente analisados e os ciberatacantes têm grandes janelas temporais para conseguirem trabalhar e derrubar as medidas de defesa que, por se mostrarem avançadas, pareciam seguras”.

Tripla extorsão

Há menos de um ano teve lugar um ataque de ransomware tripla extorsão. O ataque à clínica Vastaamo, na Finlândia, é o primeiro caso notável deste tipo ataque.

A clínica de psicoterapia com cerca de 40 mil pacientes sofreu uma falha de segurança que culminou no roubo de uma larga quantidade de dados dos pacientes, assim como um ataque de ransomware e o consequente pedido de resgate à clínica.

Em outubro de 2020, e para além da organização em si, também os pacientes receberam pequenos pedidos de resgates para que as notas escritas pelo seu terapeuta ao longo das sessões não fossem divulgadas.

Bruno Duarte, da Check Point, esclarece que “este tipo de ataque é uma evolução do ataque de dupla extorsão na medida em que os atacantes se apropriam de informação não só da organização, mas também de parceiros ou clientes” pedindo o resgate a todos os envolvidos.

O Security Engineer alerta, ainda, que “os grupos por trás deste tipo de ataques irão continuar a inovar não só no tipo de ataques, mas também no que toca a métodos de extorsão. Ao obterem mais resultados, irão certamente aumentar também em quantidade e frequência”.

Ransomware veio para ficar

Os ciberataques, como um todo, não vão diminuir. Com o crescimento das estratégias de transformação digital e, agora, com muitos colaboradores a trabalharem de forma remota, a Internet tem um peso cada vez mais importante para todas as organizações. Com isso, há outros riscos para as empresas. O ransomware é só um deles.

Seja um ‘simples’ ataque, de dupla ou mesmo de tripla extorsão, o ransomware tem um potencial devastador para a organização. O conselho passa, sempre, por proteger todos os sistemas o melhor possível. Se sofrer um ataque de ransomware, o pagamento do resgate deve ser a última opção.

Ransomware em números

• Em 2021, o pagamento médio de ransomware aumentou 82% ano após ano, para 570 mil dólares.
• O ransomware tornou-se numa forma popular de ataque nos últimos anos, crescendo 350% desde 2018.
• O maior pedido de resgate observado até agora, em 2021, é de cem milhões de dólares.
• 21% dos ataques ransomware envolveram ações sociais, como phishing.
• As pequenas empresas, que correspondem a 43% de todos os ciberataques, são o alvo perfeito, já que muitas vezes não podem fazer investimentos em cibersegurança.