Já em 2021 viu um aumento dramático nesta atividade, com ataques de resgate de alto perfil contra infra-estrutura crítica , empresas privadas e municípios alcançando as manchetes diariamente. O valor do resgate exigido também aumentou significativamente este ano, com alguns pedidos chegando a dezenas de milhões de dólares. E os ataques se tornaram mais sofisticados, com os agentes de ameaças apreendendo dados confidenciais da empresa e os mantendo como reféns para pagamento.
Quem está por trás do aumento recente de ataques? E como as empresas devem responder a essa ameaça crescente? Neste artigo, vou descrever como os ataques de ransomware evoluíram e quais ações as empresas podem tomar agora para se proteger.
Como os ataques de ransomware mudaram
Há alguns anos, a maioria dos ataques de resgate envolvia apenas a implantação de ransomware. Os hackers obteriam acesso por meio de um e-mail de phishing que implantaria malware quando um funcionário desavisado clicasse em um link. O malware então criptografaria os servidores da empresa e o extorsionário ofereceria chaves de descriptografia em troca de um resgate – normalmente em cinco ou às vezes seis dígitos.
Muitas vezes, os atores da ameaça nem mesmo obtinham acesso às informações da empresa – e às vezes nem sabiam qual empresa seria o alvo final. Eles apenas procuraram sistemas para explorar e esperaram pelo dia de pagamento. Assim que o resgate fosse pago – via Bitcoin ou outra criptomoeda – os hackers enviariam chaves de descriptografia para obter acesso aos seus servidores e até prometeriam não atingir a empresa novamente.
O jogo mudou mais recentemente – e se tornou um grande negócio para aqueles que cometem esses atos. De acordo com a Hiscox, Ltd. , 43% das mais de 6.000 empresas pesquisadas sofreram um ataque cibernético em 2020 – um aumento de 38% nos 12 meses anteriores – e um em cada seis desses ataques foi um ataque de resgate. Em 2020, a quantidade de resgate exigido cresceu para a faixa de sete dígitos de média a alta. No final de 2020 e em 2021, vimos alguns pedidos de resgate chegando a dezenas de milhões de dólares.
Além das demandas maiores, a metodologia mudou. Os ataques se concentram em exfiltrar informações da empresa – e quanto mais confidenciais, melhor. Esses atores da ameaça, que muitas vezes são organizações criminosas altamente organizadas na Europa Oriental e em outros lugares, fizeram suas pesquisas. Eles entendem o quadro financeiro da empresa, o setor em que opera e como explorar a empresa para obter o máximo efeito. Além de implantar malware para criptografar os sistemas da empresa – visando até mesmo os sistemas de backup existentes – os atores da ameaça realizam o reconhecimento dos arquivos da empresa, em última análise, exfiltrando grandes quantidades de dados, um terabyte em muitos casos.
O ator da ameaça então segue com um ultimato do tipo “pague ou então”, contatando a empresa com uma demanda de extorsão, a ser paga em criptomoeda, para obter as chaves de descriptografia e manter os dados da empresa privados. A empresa é avisada de que, caso opte por não pagar, suas informações confidenciais serão postadas na dark web em uma “parede da vergonha” com outras pessoas que foram hackeadas e não pagaram o resgate. Os jornalistas que monitoram a dark web podem obter essas informações e relatar mais amplamente sobre o ataque, às vezes causando danos à reputação da empresa ou expondo propriedade intelectual valiosa ou outras informações confidenciais, incluindo dados de clientes e funcionários.
A empresa fica entre uma pedra e uma pedra – pagar milhões de dólares em resgate a criminosos ou ter informações confidenciais sensíveis e valiosas expostas publicamente.
Notavelmente, parece haver “honra entre os ladrões” no sistema. Esses extorsionários dependem das empresas acreditarem que, se pagarem, todas as cópias dos arquivos roubados serão destruídas e / ou as chaves de descriptografia serão fornecidas. E os agressores cumprem sua palavra. Na verdade, algumas dessas organizações são totalmente orientadas para o serviço ao cliente, por exemplo, acomodando a criptomoeda preferida do extorsionário (com uma pequena taxa adicional para isso). Já vimos um agente ameaçador “jogar” as chaves de descriptografia como um gesto de boa vontade, embora a empresa já tivesse negociado um resgate menor com base no fato de que não precisava das chaves.
O que uma empresa deve fazer se for atacada?
No caso de um ransomware ou outro evento de extorsão cibernética, as empresas devem seguir seu plano de resposta a incidentes por escrito , notificando especialmente a alta administração e o departamento jurídico. A inclusão de um advogado desde o início irá garantir que a investigação seja protegida pelo privilégio advogado-cliente e pela doutrina do produto de trabalho do advogado, reduzindo o risco de exposição em quaisquer ações judiciais coletivas ou outras reivindicações legais que possam ser trazidas na sequência do violação de dados.
A seguradora da empresa também deve ser notificada no início para que possa determinar se há cobertura sob a apólice de seguro cibernético aplicável . A oferta para pagar o resgate deve ser pré-aprovada pela seguradora antes de qualquer comunicação ao ator da ameaça.
A decisão de pagar um resgate cabe à alta administração e, muitas vezes, ao conselho. Cada ransomware ou evento de extorsão cibernética deve ser avaliado individualmente para determinar se deve ou não pagar. Mantenha a mente aberta: muitas vezes, as empresas perdem um tempo precioso, pois os tomadores de decisão não familiarizados com os ataques de resgate prometem no primeiro dia que a empresa “nunca, nunca” vai pagar e, em seguida, chegará à realidade da situação, à disponibilidade de dinheiro do seguro e a necessidade de proteger as partes interessadas antes de decidir o pagamento. Além disso, mantenha a calma e ganhe tempo. Os atores da ameaça tentam criar urgência e pânico com suas demandas. Desacelerar é útil para tomar as decisões certas para sua organização. As principais questões a serem consideradas ao decidir se deve pagar o resgate incluem:
- Quão sensíveis são as informações que foram acessadas ou exfiltradas?
- A empresa possui backup das informações ou precisa das chaves de descriptografia?
- Os custos da recusa, como interrupção de negócios, impacto nos sistemas ou clientes, publicidade negativa ou danos à reputação, excedem a demanda de resgate?
- O agente da ameaça está vinculado a uma empresa que consta da lista de entidades sancionadas do Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA? (Nesse caso, pode ser ilegal, de acordo com a lei dos EUA, pagar o resgate.)
Dependendo da gravidade do incidente e de outros fatores, pelo menos a maioria das empresas enviará um relatório online ao FBI relatando os indicadores de comprometimento (IOCs) envolvidos no ataque para ajudar a aplicação da lei no rastreamento desses grupos de ameaça e, com sorte, algum dia trazê-los à justiça. Até agora, as acusações nesta área foram quase inexistentes e as empresas americanas foram deixadas em grande parte por conta própria para impedir esses ataques, apesar das boas intenções da aplicação da lei.
Como as empresas podem reduzir o risco?
Existem várias etapas que as empresas podem tomar para reduzir o risco de um ataque de resgate, bem como o risco de danos se ocorrer um ataque. Esses incluem:
- Revise o plano de resposta a incidentes de sua empresa para ter certeza de que, no caso de um ataque, está claro quem é responsável por quais ações.
- Reveja a apólice de seguro cibernético da sua empresa e certifique-se de que o resgate está coberto e que o nível de cobertura reflete a realidade atual.
- Certifique-se de que a autenticação multifator esteja habilitada em todas as contas da empresa, incluindo contas de serviço e contas de mídia social, e que fortes filtros de spam estejam em vigor.
- Estabeleça um canal de comunicação em um aplicativo de mensagens de texto seguro para que a alta administração possa se comunicar em caso de um ataque cibernético que derrube os sistemas de e-mail da empresa.
- Treine seus funcionários para identificar e-mails de phishing e educá-los sobre o modus operandi dos agentes de ameaças que procuram induzi-los a clicar em links.
- Identifique funcionários de alto risco, como aqueles com direitos administrativos aos sistemas, que podem ajudar a perpetrar um ataque interno.
- Avalie a necessidade de uma caça profilática contra ameaças por uma empresa forense de boa reputação contratada por um advogado para obter privilégios. Por exemplo, muitas empresas trataram a migração para um ambiente doméstico de trabalho como um “evento de segurança de dados” que justificaria uma ameaça ao sistema.
- Avalie os programas e protocolos de segurança cibernética de seus principais fornecedores – especialmente qualquer entidade que lida com dados confidenciais ou críticos da empresa.
- Teste os sistemas de backup regularmente e certifique-se de que eles estejam separados dos outros sistemas da empresa.
Vivemos tempos sem precedentes no mundo da segurança cibernética. A maioria dos comitês de auditoria e da alta administração que precisam tomar decisões sobre um ataque de resgate dizem que nunca imaginaram que estariam em uma discussão sobre se e quanto resgate pagar aos hackers que mantêm a empresa como refém. Com uma boa preparação e higiene de segurança cibernética e um plano em vigor, sua empresa reduzirá os riscos e estará mais bem preparada para lidar com o impensável.
Fonte HBR