A Equipe Global de Resposta a Emergências da Kaspersky (GERT) é mobilizada pelas empresas que sofrem violações de segurança para mitigar os danos e evitar a disseminação do ataque. Esse procedimento é chamado de resposta a incidentes (IR), sendo solicitado por organizações de médio a grande porte. De janeiro a novembro de 2021, praticamente metade destes casos atendidos esteve associado a ransomware, o que representa um aumento de quase 12% em relação a 2020.
O ransomware tornou-se indiscutivelmente a principal história do ano, à frente temas como os impactos nos serviços públicos de saúde. Os operadores de ransomware aprimoraram seus arsenais, concentrando-se em menos ataques e direcionando-os para organizações de grande escala. Além disso, criou-se um ecossistema clandestino inteiro para suportar essas iniciativas.
De fato, nos primeiros 11 meses de 2021, a porcentagem de solicitações de IR processadas pela equipe do GERT da Kaspersky com relação à ransomware foi de 46,7% do total – um salto comparado com os 37,9% de 2020 e dos 34% de 2019 (ano completo).
Os principais afetados foram áreas governamentais e o setor industrial. Juntos, ambos os ataques representaram quase 50% de todas as solicitações de IR de ransomware em 2021. Outros alvos populares incluem instituições financeiras e empresas de tecnologia.
Conforme os operadores de ransomware passam a direcionar seus ataques para alvos com grande visibilidade e exigem resgates maiores, eles passaram a sofrer mais pressão política e das autoridades legais, o que aumentoueficiência dos ataques. Como consequência disso, os especialistas da Kaspersky indicam duas tendências importantes que ganharão popularidade em 2022.
A primeira é que as gangues de ransomware devem construir versões Linux de seus ransomware para ampliar a superfície de ataque. Isso já ocorre com os grupos RansomExx e DarkSide. Além disso, os operadores começarão a focar mais na “chantagem financeira”. Neste caso, as ameaças de vazamento de informações críticas ocorrem no momento em que as empresas estão passando por um evento financeiro importante, como uma fusão, aquisição ou abertura de capital, e que pode desvalorizar suas ações. Neste contexto, as vítimas ficam mais vulneráveis e mais propensas a pagar o resgate.
“Entre as principais ações que devem ser tomadas, destaco a diminuição da superfície de ataque com a correção de vulnerabilidades e políticas efetivas de acesso às informações, monitoramento de atividades suspeitas na rede para identificação precoce do ataque, treinamento amplo (de conscientização e de especialização) para que as equipes saibam lidar com este problema e tecnologias efetivas de prevenção, como criptografia e a melhor proteção contra ransomware do mercado”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
Para proteger as empresas contra os ransomware, os especialistas da Kaspersky recomendam ainda:
• Não exponha as ferramentas de conexões remota (como o RDP) em redes públicas, a menos que seja absolutamente necessário. Para isso, use sempre senhas fortes e VPN neles;
• Aplique imediatamente as atualizações e correções nas VPNs para impedir acessos indevidos;
• Os patches devem ser executados em todos os programas e sistemas operacionais para evitar que o ransomware explore vulnerabilidades;
• Foque a estratégia de defesa na detecção de movimentações laterais e de exfiltração de dados para a internet. Preste atenção especial ao tráfego de saída para detectar conexões de cibercriminosos;
• Faça backup de seus dados regularmente. Garanta o rápido acesso a eles quando necessário em uma emergência.
