CIÊNCIA & TECNOLOGIA
Ransomware: é melhor pagar ou não o resgate?
Poucas situações são tão caóticas e amedrontadoras no mercado atual quanto um ataque de ransomware que interrompe sistemas, rouba dados e gera forte extorsão. Aconteceu com empresas gigantes, como a petrolífera Saudi Aramco e a distribuidora Colonial Pipelina; no Brasil, Renner e JBS estão na lista. Para muitas, a notícia de um ataque logo acompanha a revelação, vezes oficial, vezes não, de que um valor foi pago aos bandidos para encerrar o caso e restabelecer o sistema.
Olhando a catástrofe, já dá para entender o porquê, com os números mostrando isso ainda mais. De acordo com um levantamento da Sophos, feito em abril, o custo médio de recuperação de um ataque de ransomware em 2021 é de US$ 1,8 milhão, um total que envolve os prejuízos decorrentes da parada das operações, protocolos de recuperação, danos à imagem e até multas por órgãos governamentais. Enquanto isso, o resgate médio pago é de US$ 170,4 mil.
Por outro lado, a mesma pesquisa mostra o outro lado dessa equação — segundo os números, apenas 8% das empresas que pagam o resgate conseguem reaver os dados e o funcionamento dos seus sistemas, enquanto destas, 29% relatam terem recebido um pouco mais da metade do que foi perdido, apenas. O negócio, no final, não parece ser tão bom assim, a não ser para os criminosos, que continuam vendo os lucros em alta na medida em que realizam mais e mais ataques.
“O número de ataques de ransomware está crescendo por um motivo simples: os resgates estão sendo pagos. A disposição [para fazer isso] cria um ciclo perigoso e aumenta a motivação dos atacantes”, explica Fernando de Falchi, gerente de engenharia de segurança da Check Point Softwares Brasil. Tal comportamento também foi o responsável direto pelo surgimento dos ransomwares como serviço, com quadrilhas criminosas vendendo soluções de ataque e até prestando suporte técnico a outros interessados, com os lucros resultantes de um golpe sendo divididos entre os envolvidos.
Aumentou, também, a abrangência desse tipo de crime. De acordo com os dados da empresa de segurança, 40% das famílias de ransomware em atividade hoje realizam não apenas a criptografia, mas também desviam as informações para aumentar a superfície de extorsão. De Falchi aponta ainda para uma terceira característica, ainda em ascensão, na qual clientes, fornecedores e parceiros, expostos em tais vazamentos, também são contatados para que paguem, em troca de não terem seus dados confidenciais divulgados.
“Os cibercriminosos estão constantemente aprimorando suas técnicas para aumentar a pressão quanto aos pagamentos, [mas] a prioridade das empresas deve ser garantir a segurança dos dados dos clientes e descobrir a origem do ataque”, aponta de Falchi. De acordo com ele, manter a calma, entender o que está acontecendo, fazer contato com as equipes de segurança e registrar a nota de resgate para futuras investigações são os primeiros passos, antes mesmo de uma companhia pensar em pagar ou não.
Defesa e recuperação
Um ataque de ransomware costuma ser a culminação de uma intrusão, com os atacantes responsáveis já presentes na rede há algum tempo, coletando informações e se movimentando lateralmente como forma de causar o maior dano possível. Isso vale, inclusive, para momentos após um eventual pagamento, já que de acordo com o especialista, acertar o resgate nem sempre significa o fim da ameaça; se o malware ainda estiver dentro da rede corporativa, ele pode bloquear tudo outra vez.
Por isso, antes de assinar qualquer cheque, o representante da Check Point sugere que as vítimas realizem uma checagem de backups, um processo demorado, mas que pode restabelecer as máquinas atingidas a partir das informações salvas. Além disso, o ideal é isolar os sistemas comprometidos, já que isso ajuda a identificar a origem da contaminação e, também, evita que ela continua se disseminando, bem como dificulta aos atacantes a cobertura de seus rastros.
“Um ataque de ransomware geralmente começa com outra ameaça, muitas vezes, um e-mail de phishing ‘simples’. Descobrir a primeira máquina infectada e qual era a brecha é importante [nessa avaliação]”, segue de Falchi, ressaltando o caráter educativo das estratégias de proteção. Orientar colaboradores, parceiros e qualquer indivíduo que tenha acesso ao sistema é essencial, já que a engenharia social segue como a principal arma dos criminosos em golpes de sequestro digital.
Paralelamente, também estão as vulnerabilidades conhecidas e as brechas comuns, mitigadas com políticas constantes de atualização de sistemas e aplicação de patches. Instalar sistemas de proteção, inteligência e análise de ameaças também ajuda a manter os sistemas protegidos. Muitas destas ferramentas, inclusive, são focadas em ransomware, sendo capazes de detectar a abertura e travamento de arquivos em sucessão, impedindo tais atividades antes que elas se disseminem pela rede.
“Caso os fatores humanos ou a tecnologia falhem, [a empresa] deve passar por todos os processos novamente e repensar sua estratégia para garantir que um incidente semelhante nunca aconteça novamente”, completa de Falchi. “Essa é uma etapa necessária para quem pagou o resgate ou não, nunca se pode ficar confortável com a recuperação dos dados ou considerar o incidente resolvido [antes disso].”
Mirando no ponto fraco
O especialista da Check Point também aponta para algumas peculiaridades dos ataques de ransomware, com os criminosos tentando aumentar sua eficácia ao atingirem as empresas nos pontos mais críticos. Ele indica a atenção especial aos finais de semana e feriados, já que os bandidos aproveitam a folga e os momentos de menos gente trabalhando para agir, sabendo que, nestes casos, uma resposta também deve demorar a chegar.
Ao ser sequestrada digitalmente, uma empresa também deve interromper as atualizações automáticas de sistemas infectados e outras tarefas de manutenção, bem como evitar reinicializações de sistema ou a manipulação de dados contaminados. “Excluir arquivos temporários ou fazer outras alterações poderá complicar desnecessariamente as investigações e correções”, completa de Falchi.
Legislações regionais, como é o caso da nossa Lei Geral de Proteção de Dados (LGPD) também podem exercer pressão extra em caso de ataque. Aqui, não há outra recomendação a não ser seguir o protocolo e agir de acordo com a regulação, já que um comportamento inadequado durante a crise pode levar a multas e outras punições, assim como práticas inadequadas de gestão e proteção de dados — as penas, aqui, podem vir mesmo sem um vazamento.
Ao mesmo tempo, o especialista cita o trabalho ao lado das autoridades como importante para reduzir os números de ataques e ampliar a proteção das empresas. O ideal é ser transparente com autoridades e funcionários, explicando o que ocorreu e fornecendo instruções sobre como agir em caso de comportamento suspeito. “Na luta contra o cibercrime, a colaboração é fundamental”, completa de Falchi.