Todos os dias ouvimos falar de sonegação de dados e de ataques de ransomware. Nos últimos meses, o número médio de ataques aumentou astronomicamente e há registos de Maio deste ano que apontam para 1115 organizações visadas por semana. Sabemos hoje que, no espaço de dois meses, o número de organizações impactadas por ransomware aumentou 40% só no continente africano.
Por detrás desta realidade está uma simples razão: o ransomware é um negócio pago (e bem pago!). A disponibilidade para cumprir com os pagamentos exigidos pelos hackers cria um ciclo sem fim muito perigoso que, inevitavelmente, alimenta a motivação dos atacantes. Adicionalmente, é cada vez mais comum contar com seguros contra o cibercrime, pelo que as empresas não hesitam em satisfazer as exigências dos cibercriminosos, agravando ainda mais o problema.
Por outro lado, o aumento do número de ataques está relacionado também com a disponibilidade das ameaças. Muitos grupos de cibercrime vendem os seus serviços de ransomware num modelo Ransomware-as-a-Service (RaaS). O REvil é exemplo de um grupo que aposta neste tipo de ofertas que recentemente deu que falar, com o ciberataque que obrigou a JBS, uma das maiores indústrias alimentares do mundo, a paralisar operações nas várias fábricas que tem espalhadas pelo globo. Com este modelo, qualquer pessoa pode “alugar” este tipo de ofensiva, incluindo infraestruturas, os esforços de negociação com a vítima e até o website onde a informação roubada pode eventualmente ser divulgada. No final de contas, o resgate é dividido pelos vários “parceiros” da operação.
Ora, um ataque de ransomware não começa com um ransomware. A maior parte das vezes inicia-se com um simples e-mail de phishing, o que mais uma vez prova que os hackers trabalham em conjunto. Nos ataques de ransomware do Ryuk, por exemplo, o malware Emotet era utilizado para infiltrar a rede, que era posteriormente infetada com o Trickbot, culminando finalmente na encriptação dos dados com o ataque de ransomware.
Claro está que os agentes de cibercrime procuram constantemente aprimorar as suas táticas. Originalmente, um ataque de ransomware limitava-se a encriptar dados e a exigir um resgate para a sua desencriptação. Não tardou muito para que os atacantes adicionassem uma segunda fase na qual são roubadas as informações antes da sua encriptação, sob ameaça de divulgação caso não seja pago o resgate. Atualmente, aproximadamente 40% das famílias de ransomware recorrem de alguma forma ao roubo de dados, em adição ao bloqueio da informação. Mais recentemente, descobriu-se uma terceira fase, na qual parceiros, clientes e terceiros são também visados.
Impõe-se, assim, a pergunta: o que fazer quando somos vítimas de um ataque deste tipo? Pagar ou não pagar? Primeiramente, há que procurar entender qual foi a origem do ataque. Quer tenha sido por falha humana ou por erro tecnológico, é imprescindível rever todos os processos e repensar a estratégia de segurança para que um incidente do género não se repita. Cumprir esta rotina é absolutamente essencial, independentemente de se pagar ou não o montante exigido. A recuperação de dados não é, por si só, uma razão para tomar o acontecimento como resolvido.
E depois? Pagar ou não pagar? A resposta não é tão simples como à partida pode parecer. A verdade é que não há sequer como responder taxativamente a esta questão. Se, por um lado, há resgates que chegam aos milhões de euros, a quebra de sistemas pode, na mesma medida, resultar em perdas económicas semelhantes ou até superiores. É importante ter em conta, contudo, que nem sempre o pagamento do resgate corresponde à total desencriptação dos dados… Muitas vezes os atacantes codificam o ataque de forma a não ser possível recuperar a informação mesmo que se queira.
Em suma, qualquer decisão deve ser precedida de uma análise cuidadosa de todas as opções disponíveis, tendo sempre em mente que o pagamento do resgate é, de facto, um cenário a evitar ao máximo. Mais uma vez, é importante referir que a melhor forma de defesa contra este tipo de ameaças é a prevenção. Por prevenção entende-se a adoção de práticas de cibersegurança ao longo de toda a rede corporativa, desde a formação e sensibilização das equipas à atualização regular de todos os recursos e à segmentação de acessos.