Um levantamento da ISH Tecnologia revela que em 2023, os ransomwares registraram um aumento de 12,92% no número total de ocorrências em relação ao ano anterior. Somente até a data de elaboração do relatório, no início de dezembro, foram somadas 4881 publicações de vítimas. Os dados mostram a presença de ataques mais sofisticados, com os criminosos usando a seu favor a evolução das ferramentas tecnológicas.
Os grupos Lockbit e Alphv/Black lideram o número de vítimas, explorando vulnerabilidades críticas em softwares, falhas que permitem entrada de infiltrados nas redes corporativas e contornos nas medidas de autenticação. Na visão dos CISOs da comunidade Security Leaders, esse tipo de ataque ainda causa grandes impactos nas empresas, especialmente quando envolvem prejuízos operacionais, vazamento de dados sensíveis e danos reputacionais, o que aumenta a pressão para o pagamento de resgate.
E a decisão de pagar ou não o cibercriminoso segue como um dos tópicos mais delicados no cenário de ataques cibernéticos. A orientação de órgãos nacionais e internacionais como NIST, FBI e Polícias Federal e Civil do Brasil é que a empresa vítima não deve pagar ou fazer nenhum tipo de negociação com criminosos. Além de financiar quadrilhas e incentivar novos ataques, o pagamento não garante que a companhia terá os dados de volta.
Por outro lado, alguns Líderes concordam que o cenário de ataque cibernético envolvendo ransomware é tão complexo que, em muitos casos, a operação parada pode causar um prejuízo maior se comparada ao pagamento de um resgate. E esse tipo de impacto pode levar a uma decisão mais drástica. Segundo o relatório global State of the Phish, da Proofpoint, 91% das organizações brasileiras infectadas por ransomware pagaram resgate em 2022 e muitas (29%) o fizeram mais de uma vez.
Acordo com o board
Como esse tema ganhou grandes proporções, está cada vez mais comum o CISO liderar treinamentos e exercício de Table Top para simular crises e preparar a empresa e as equipes em situações similares. Inclusive, com documentos estabelecidos entre os times de Segurança e o board com a decisão de não negociar com o cibercrime e não destinar verbas ao pagamento de resgate.
Em alguns casos, essa diretriz está documentada em Guidelines de Resposta a Incidentes de Ransomware, assim como no fluxo do Comitê de Crise que ataques desta natureza não devem ser pagos, muito menos os CISOs ou seus times têm autorização para manter contato com criminosos. Mesmo que o seguro cibernético tenha previsibilidade sobre o tema, a orientação é sempre evitar contatos, negociações e pagamentos.
Até porque, na visão dos líderes do grupo Security Leaders, pagar resgate é assumir que não há um plano robusto de Cibersegurança e financiar o cibercrime pode tornar a empresa um alvo fácil para novas ocorrências.
Estratégias para a continuidade de negócio
A melhor opção no combate ao ransonware, na visão dos líderes, é colocar em prática as medidas mitigatórias acompanhadas com os devidos investimentos. Todos concordam que não existe empresa 100% segura, mas a redução do risco de ataque cibernético pode ser contemplada com plano consistente de defesa cibernética, além de aportes em tecnologia, processos e pessoas.
A contratação de empresas especializadas também é uma opção viável, pois já contam com experiências em casos de ransomwares e gerência da crise junto ao conselho administrativo. Além disso, o apoio dos times jurídicos também é importante, principalmente quando envolve questões civis e criminais, incluindo processos trabalhistas atrelados às respostas de incidente.
Principais vulnerabilidades exploradas
O relatório da ISH também lista as dez vulnerabilidades de segurança mais exploradas por cibercriminosos durante o ano:
1 – PaperCut NG/MF – Vulnerabilidade crítica no software de gerenciamento de impressão PaperCut, permitindo a execução de código arbitrário e bypass de autenticação.
2 – Windows SmartScreen – Permite que atacantes contornem as defesas do Mark of the Web (MOTW) no SmartScreen e no Microsoft Office’s Protected View.
3 – Fortra GoAnywhere MFT – Falha de injeção de comando na ferramenta Fortra’s GoAnywhere Managed File Transfer, permitindo a execução remota de código.
4 – Microsoft Outlook – Permite que atacantes contornem medidas de autenticação no NTLM da Microsoft Outlook, facilitando o acesso não autorizado.
5 – MOVEit Transfer – Vulnerabilidade grave de injeção SQL no MOVEit Transfer, levando à execução arbitrária de código e interrupções de dados.
6 – 3CX para Desktop – Violação sofisticada no cliente desktop 3CX VOIP, permitindo que atacantes injetem código malicioso.
7 – Driver do Sistema de Arquivos de Log Comum do Windows – Afeta o driver CLFS no Windows, permitindo que atacantes adquiram privilégios no nível do sistema.
8 – Barracuda E-mail Security Gateway – Falha crítica de injeção de comando remoto, permitindo exploração por malwares e ransomwares.
9 – Vmware Aria Operations for Networks – Um agente mal-intencionado com acesso de rede ao VMware Aria Operations for Networks pode executar um ataque de injeção de comando, resultando na execução remota de código.
10 – SugarCRM – Falha de bypass de autenticação e execução remota de código.
