Erros de configuração em servidores, na nuvem e na rede causam 40% dos incidentes de ransomware
A pesquisa The state of ransomware 2020, promovida pela Sophos, cujos resultados foram publicados recentemente provou mais uma vez que apenas possuir a ferramenta certa não é suficiente para conter o apetite dos fraudadores. É preciso saber exatamente como manusear o arsenal de defesa para conseguir utilizar todo o seu potencial de segurança.
Surpreendentemente, o estudo revela que apesar de a maior parte da vulnerabilidade dos sistemas permanecer muito atrelada aos vetores tradicionalmente ligados ao comportamento do usuário, ainda existe uma parcela significativamente relevante de oportunidades oferecidas aos golpistas por falhas na utilização das tecnologias de segurança.
De acordo com o trabalho, 61% dos ataques de ransomware usam os vetores mais evidentes, como links em mensagens (29%), anexos (16%) e 7% das contaminações por USB. As infiltrações por acesso de terceiros ficam em 9%, embora o estudo não especifique como.
Por outro lado, 21% dos ataques exploram falhas e vulnerabilidades nos servidores; 9% usam RDP; e outros 9% aproveitam configurações mal feitas em serviços de nuvem. Entre os 73% das vítimas em que a encriptação dos foi efetivada, 41% estavam com dados on premise e em nuvens privadas; 35% em nuvem pública; e 24% em ambos.
A pesquisa foi feita com 5 mil profissionais de TI de 26 países (300 do Brasil). Ela mostra que o número de empresas atingidas por ataques de ransomware tem declinado ligeiramente desde o início da pesquisa, com 54% em 2017 e 51% agora. Outra variação, embora igualmente pequena, é a proporção entre ataques a pequenas e médias empresas e corporações com mais de mil funcionários, que tiveram 54% dos casos em 2020.
Brasil é segundo em ataques e quarto em bloqueios
O maior percentual de organizações atingidas por ransomware é da Índia, com 82%, seguida por Brasil (65%) e Turquia (63%). Entre os que conseguiram bloquear o ataque antes da encriptação, o Brasil fica em quarto (36%) e o primeiro lugar é da Turquia (51%). No Japão, embora 42% sejam atingidos, apenas 5% conseguem interromper os ataques.
No quadro global, entre os incidentes, em 73% dos casos o ransomware conseguiu encriptar os dados e em 24% o ataque foi interrompido antes. Os 3% restantes são casos assintomáticos, em que o ransomware não funcionou.
Recuperação de ransomware é metade do custo sem o pagamento de resgate
Entre as organizações atingidas, mais de 90% conseguem resistir ao ataque. Os bloqueios funcionam em 24% dos casos, e a maioria, 56%, consegue restaurar o seu próprio backup, enquanto cerca de 25% pagam (28% no Brasil).
Na amostragem da pesquisa da Sophos, o custo médio de um incidente é de US$ 730 mil com a recuperação por conta própria e chega a US$ 1,4 milhão com o pagamento do resgate.
“Mesmo se pagando o resgate, o custo de restaurar os dados que sejam devolvidos é o mesmo ou maior do que fazer isso a partir do backup, e ainda tem o pagamento ao criminoso”, observa o autor do relatório.
Indústria de mídia é maior vítima de ransomware
Entre as companhias de 26 países abrangidas na pesquisa The state of ransomware 2020, o setor mais afetado é o de empresas de Mídia, com 60% das empresas com incidentes. Depois vem Finanças (48%), Manufatura (46%) e Governo (45%).
Os autores do relatório reconhecem a surpresa. “O noticiário está cheio de histórias sobre hospitais e órgãos públicos atingidos por ransomware. Entretanto, a pesquisa revela que essas manchetes estão desenhando uma imagem distorcida da realidade. Em muitos países, as organizações públicas são obrigadas a notificar os ataques. Já no setor privado alguns preferem ficar quietos, para evitar desgaste ou se tornar alvo de novos ataques”, justificam.
Configurações e medidas básicas funcionam bem contra ransomwar
Na pesquisa da Sophos, as empresas que resistiram a ataques de ransomware tinham adotado dois cuidados decisivos:
- Backup – rotinas offline e offsite, junto a processos de testes contínuos, limitam o prejuízo ao trabalho de restauração dos dados, sem perdas ou cessão a chantagem.
- Tecnologias de bloqueio – 24% das organizações atacadas tinham bloqueios a encriptação não autorizada.
Outras medidas relativamente simples, com baixo ou nenhum custo de implementação, podem ser revisadas imediatamente e mitigar os principais riscos apontados no estudo.
Configuração certa de estações e servidores – conforme o caso, desabilitar recursos desnecessários, como RDP ou PowerShell, nas máquinas estrangula as chances de conclusão dos golpes. O problema é que entre os “endpoints inseguros” há muitos servidores cuja configuração de fábrica não foi ajustada.
Configuração correta e uso dos serviços homologados em nuvem – com algum tempo, é possível elevar muito o nível de segurança de serviços e aplicações em nuvem, com os recursos já incluídos pelos provedores. Todavia, pouco adianta ter zonas seguras na nuvem se o usuário insiste em usar provedores desconhecidos ou aplicativos impróprios, como troca de mensagens e arquivos sem qualquer controle.
O usuário como o elo mais forte da cibersegurança – por mais camadas e recursos de IA na estrutura de segurança, é o usuário que entende o contexto e acaba tomando as decisões. Informação, transparência e suporte são cada vez mais fundamentais para o usuário não ser vítima de seu próprio ímpeto de produtividade (na dúvida sobre uma mensagem estranha ser de um fraudador ou de um prospect, faz a pior aposta e clica no link).
Pedro Paulo Nakazato Miyahira, head de Cybersecurity da CYLK.
Erros de configuração em servidores, na nuvem e na rede causam 40% dos incidentes de ransomware