Um novo mundo com ‘ransomware’

Sem grandes surpresas, o Relatório de Riscos Globais para 2022 do World Economic Forum enuncia que o crescimento da dependência digital vai intensificar as ciberameaças. Igualmente sem grandes surpresas, e considerando o aumento de ransomware em 435% registado durante 2020, associado ao crescente valor de criptocorrências transaccionadas para pagamentos de ransomware (passando de 0,51 milhões de dólares em 2013 para 406,34 milhões de dólares em 2020), inferimos, com um elevado grau de certeza, que estes ataques não só se vão manter, como intensificar de 2022 em diante.

Adicionalmente, o grupo de trabalho de cibersegurança do World Economic Forum é profundamente pragmático e incisivo ao concluir que o ransomware está a tornar-se uma das maiores ameaças globais, com um elevado potencial de afectar a segurança pública e disruptir grande parte dos serviços críticos.

Como sociedade digital, vemo-nos neste momento confrontados com mais de 50 tipos de ransomware ativos e em circulação, utilizado por diversos grupos de cibercrime organizado. Esta evolução é visível e não demonstra tendência de abrandamento. Como agravante, verifica-se ainda que cada tipo de ransomware é constituído por algoritmos que vão aumentando em termos de complexidade, com mecanismos de troca de chaves mais robustos e eficazes. A evolução natural da utilização de tipos de ransomware cada vez mais assente em algoritmos de encriptação com chave assimétrica em detrimento de simétrica – associado a mecanismos de pagamento tendencialmente indetetáveis e tipicamente baseados em criptocorrências, explorando naturais fraquezas humanas como catalisador de infeção – tornam o contexto cada vez mais favorável aos criminosos e mais penoso para as vítimas e para as agências de combate ao cibercrime.

Considerando a crescente proliferação e impacto que o ransomware está a ter na nossa sociedade digital, é inevitável que as organizações se assumam como um pilar fundamental de resiliência e recuperação de ciberameaças relacionadas com esta dimensão.

Torna-se neste momento fundamental garantir a consciencialização da gestão de topo e dos decisores estratégicos quanto ao investimento necessário para fazer face a esta ameaça. Não pode, nem deve ser ignorada, a urgência de instanciação de medidas de ciberresiliência eficazes, quando os estudos nos demonstram que, após um ataque de ransomware, decorrem, em média, 21 dias de total indisponibilidade e 287 dias até se alcançar a recuperação total e o funcionamento normal das operações. Em muitos dos casos, estes tempos são totalmente incomportáveis para uma sustentável continuidade de negócio, resultando num impacto com consequências potencialmente irrecuperáveis.

Na eventualidade de um ataque bem-sucedido, as organizações vêem-se confrontadas com apenas dois cenários: pagar ou não o resgate. O caso típico em que o pagamento é forçosamente considerado, resulta não só em danos financeiros como regulatórios e legais. O impacto disruptivo destes ataques é geralmente tão devastador para a organização (nomeadamente em cenários de proibição governamental de pagamento de resgates desta natureza, tal como acontece nos Estados Unidos da América), que resulta num dano reputacionalmente fatal, em concreto quanto à impossibilidade de recuperação total ou parcial de dados críticos à continuidade das operações.

Como em tudo, existem boas e más notícias. As boas é que a prevenção é possível, e a implementação de controlos de cibersegurança diminuem de forma drástica a probabilidade de um ataque de ransomware ser bem-sucedido ou de ter consequências relevantes (e negativas). Adicionalmente, em alguns casos particulares, é possível a recuperação dos dados encriptados, sem que seja necessário efetuar o pagamento do resgate, resultando num impacto desprezível para as operações da organização. As más notícias é que, muitas vezes, mesmo após o pagamento integral do resgate, existe um sem-número de eventos que pode levar a que os dados nunca sejam recuperados (e.g. a chave de desencriptação não é dada pelos criminosos, a chave de desencriptação não funciona devido a bugs ou alterações no código fonte do malware utilizado).

As organizações devem fazer uma análise de risco cuidada e direcionada para esta ameaça. Há que adotar uma estratégia de ‘zero-trust’, direcionando controlos pró-ativos de gestão de vulnerabilidades e proteção de endpoints e servidores críticos com tecnologias anti-malware apropriadas, e de deteção de padrões e comportamentos anómalos nas redes e nos ativos, conjugando uma forte política de backups deslocalizados e num contexto isolado e independente com processos de resposta a incidentes otimizados para estes casos.

A resiliência da nossa sociedade é um pilar fundamental para o continuar da digitalização e do progresso tecnológico inerente à evolução das organizações e dos serviços prestados aos utilizadores. É crítica a necessidade de nos munirmos com capacidade de resposta a uma das maiores ameaças do novo mundo digital.