Já em 2021 viu um aumento dramático nesta atividade, com ataques de resgate de alto perfil contra infra-estrutura crítica , empresas privadas e municípios alcançando as manchetes diariamente. O valor do resgate exigido também aumentou significativamente este ano, com alguns pedidos chegando a dezenas de milhões de dólares. E os ataques se tornaram mais sofisticados, com os agentes de ameaças apreendendo dados confidenciais da empresa e os mantendo como reféns para pagamento.

Quem está por trás do aumento recente de ataques? E como as empresas devem responder a essa ameaça crescente? Neste artigo, vou descrever como os ataques de ransomware evoluíram e quais ações as empresas podem tomar agora para se proteger.

Como os ataques de ransomware mudaram

Há alguns anos, a maioria dos ataques de resgate envolvia apenas a implantação de ransomware. Os hackers obteriam acesso por meio de um e-mail de phishing que implantaria malware quando um funcionário desavisado clicasse em um link. O malware então criptografaria os servidores da empresa e o extorsionário ofereceria chaves de descriptografia em troca de um resgate – normalmente em cinco ou às vezes seis dígitos.

Muitas vezes, os atores da ameaça nem mesmo obtinham acesso às informações da empresa – e às vezes nem sabiam qual empresa seria o alvo final. Eles apenas procuraram sistemas para explorar e esperaram pelo dia de pagamento. Assim que o resgate fosse pago – via Bitcoin ou outra criptomoeda – os hackers enviariam chaves de descriptografia para obter acesso aos seus servidores e até prometeriam não atingir a empresa novamente.

O jogo mudou mais recentemente – e se tornou um grande negócio para aqueles que cometem esses atos. De acordo com a Hiscox, Ltd. , 43% das mais de 6.000 empresas pesquisadas sofreram um ataque cibernético em 2020 – um aumento de 38% nos 12 meses anteriores – e um em cada seis desses ataques foi um ataque de resgate. Em 2020, a quantidade de resgate exigido cresceu para a faixa de sete dígitos de média a alta. No final de 2020 e em 2021, vimos alguns pedidos de resgate chegando a dezenas de milhões de dólares.

Além das demandas maiores, a metodologia mudou. Os ataques se concentram em exfiltrar informações da empresa – e quanto mais confidenciais, melhor. Esses atores da ameaça, que muitas vezes são organizações criminosas altamente organizadas na Europa Oriental e em outros lugares, fizeram suas pesquisas. Eles entendem o quadro financeiro da empresa, o setor em que opera e como explorar a empresa para obter o máximo efeito. Além de implantar malware para criptografar os sistemas da empresa – visando até mesmo os sistemas de backup existentes – os atores da ameaça realizam o reconhecimento dos arquivos da empresa, em última análise, exfiltrando grandes quantidades de dados, um terabyte em muitos casos.

O ator da ameaça então segue com um ultimato do tipo “pague ou então”, contatando a empresa com uma demanda de extorsão, a ser paga em criptomoeda, para obter as chaves de descriptografia e manter os dados da empresa privados. A empresa é avisada de que, caso opte por não pagar, suas informações confidenciais serão postadas na dark web em uma “parede da vergonha” com outras pessoas que foram hackeadas e não pagaram o resgate. Os jornalistas que monitoram a dark web podem obter essas informações e relatar mais amplamente sobre o ataque, às vezes causando danos à reputação da empresa ou expondo propriedade intelectual valiosa ou outras informações confidenciais, incluindo dados de clientes e funcionários.

A empresa fica entre uma pedra e uma pedra – pagar milhões de dólares em resgate a criminosos ou ter informações confidenciais sensíveis e valiosas expostas publicamente.

Notavelmente, parece haver “honra entre os ladrões” no sistema. Esses extorsionários dependem das empresas acreditarem que, se pagarem, todas as cópias dos arquivos roubados serão destruídas e / ou as chaves de descriptografia serão fornecidas. E os agressores cumprem sua palavra. Na verdade, algumas dessas organizações são totalmente orientadas para o serviço ao cliente, por exemplo, acomodando a criptomoeda preferida do extorsionário (com uma pequena taxa adicional para isso). Já vimos um agente ameaçador “jogar” as chaves de descriptografia como um gesto de boa vontade, embora a empresa já tivesse negociado um resgate menor com base no fato de que não precisava das chaves.

O que uma empresa deve fazer se for atacada?

No caso de um ransomware ou outro evento de extorsão cibernética, as empresas devem seguir seu plano de resposta a incidentes por escrito , notificando especialmente a alta administração e o departamento jurídico. A inclusão de um advogado desde o início irá garantir que a investigação seja protegida pelo privilégio advogado-cliente e pela doutrina do produto de trabalho do advogado, reduzindo o risco de exposição em quaisquer ações judiciais coletivas ou outras reivindicações legais que possam ser trazidas na sequência do violação de dados.

A seguradora da empresa também deve ser notificada no início para que possa determinar se há cobertura sob a apólice de seguro cibernético aplicável . A oferta para pagar o resgate deve ser pré-aprovada pela seguradora antes de qualquer comunicação ao ator da ameaça.

A decisão de pagar um resgate cabe à alta administração e, muitas vezes, ao conselho. Cada ransomware ou evento de extorsão cibernética deve ser avaliado individualmente para determinar se deve ou não pagar. Mantenha a mente aberta: muitas vezes, as empresas perdem um tempo precioso, pois os tomadores de decisão não familiarizados com os ataques de resgate prometem no primeiro dia que a empresa “nunca, nunca” vai pagar e, em seguida, chegará à realidade da situação, à disponibilidade de dinheiro do seguro e a necessidade de proteger as partes interessadas antes de decidir o pagamento. Além disso, mantenha a calma e ganhe tempo. Os atores da ameaça tentam criar urgência e pânico com suas demandas. Desacelerar é útil para tomar as decisões certas para sua organização. As principais questões a serem consideradas ao decidir se deve pagar o resgate incluem:

  • Quão sensíveis são as informações que foram acessadas ou exfiltradas?
  • A empresa possui backup das informações ou precisa das chaves de descriptografia?
  • Os custos da recusa, como interrupção de negócios, impacto nos sistemas ou clientes, publicidade negativa ou danos à reputação, excedem a demanda de resgate?
  • O agente da ameaça está vinculado a uma empresa que consta da lista de entidades sancionadas do Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA? (Nesse caso, pode ser ilegal, de acordo com a lei dos EUA, pagar o resgate.)

Dependendo da gravidade do incidente e de outros fatores, pelo menos a maioria das empresas enviará um relatório online ao FBI relatando os indicadores de comprometimento (IOCs) envolvidos no ataque para ajudar a aplicação da lei no rastreamento desses grupos de ameaça e, com sorte, algum dia trazê-los à justiça. Até agora, as acusações nesta área foram quase inexistentes e as empresas americanas foram deixadas em grande parte por conta própria para impedir esses ataques, apesar das boas intenções da aplicação da lei.

Como as empresas podem reduzir o risco? 

Existem várias etapas que as empresas podem tomar para reduzir o risco de um ataque de resgate, bem como o risco de danos se ocorrer um ataque. Esses incluem:

  1. Revise o plano de resposta a incidentes de sua empresa para ter certeza de que, no caso de um ataque, está claro quem é responsável por quais ações.
  2. Reveja a apólice de seguro cibernético da sua empresa e certifique-se de que o resgate está coberto e que o nível de cobertura reflete a realidade atual.
  3. Certifique-se de que a autenticação multifator esteja habilitada em todas as contas da empresa, incluindo contas de serviço e contas de mídia social, e que fortes filtros de spam estejam em vigor.
  4. Estabeleça um canal de comunicação em um aplicativo de mensagens de texto seguro para que a alta administração possa se comunicar em caso de um ataque cibernético que derrube os sistemas de e-mail da empresa.
  5. Treine seus funcionários para identificar e-mails de phishing e educá-los sobre o modus operandi dos agentes de ameaças que procuram induzi-los a clicar em links.
  6. Identifique funcionários de alto risco, como aqueles com direitos administrativos aos sistemas, que podem ajudar a perpetrar um ataque interno.
  7. Avalie a necessidade de uma caça profilática contra ameaças por uma empresa forense de boa reputação contratada por um advogado para obter privilégios. Por exemplo, muitas empresas trataram a migração para um ambiente doméstico de trabalho como um “evento de segurança de dados” que justificaria uma ameaça ao sistema.
  8. Avalie os programas e protocolos de segurança cibernética de seus principais fornecedores – especialmente qualquer entidade que lida com dados confidenciais ou críticos da empresa.
  9. Teste os sistemas de backup regularmente e certifique-se de que eles estejam separados dos outros sistemas da empresa.

Vivemos tempos sem precedentes no mundo da segurança cibernética. A maioria dos comitês de auditoria e da alta administração que precisam tomar decisões sobre um ataque de resgate dizem que nunca imaginaram que estariam em uma discussão sobre se e quanto resgate pagar aos hackers que mantêm a empresa como refém. Com uma boa preparação e higiene de segurança cibernética e um plano em vigor, sua empresa reduzirá os riscos e estará mais bem preparada para lidar com o impensável.

Fonte HBR