Luís Feitor
Num mundo em constante evolução, com diferentes formas emergentes de ataques e novos cibercriminosos a surgirem diariamente, as empresas têm de estar mais vigilantes do que nunca. Entre os populares ataques DDoS (negação de serviço distribuída), que têm a capacidade de sobrecarregar uma rede até que esta atinja o colapso, e os agentes de ransomware que procuram uma forma rápida de adquirir dinheiro, qualquer organização com dados sensíveis é um alvo.
Como se as ameaças que evoluíram nos últimos anos não fossem suficientemente preocupantes, está a surgir uma tendência notável com implicações diretas para as empresas de todos os tipos e dimensões.
As técnicas de ransomware e de violação de dados estão a sofrer um processo de modernização. O ransomware é uma ferramenta de malware utilizada pelos cibercriminosos para extorquir dinheiro às organizações, tendo-se baseado em técnicas de encriptação para manter as empresas reféns. A encriptação bloqueia os dados e permite que o criminoso exija um resgate à empresa, em troca do desbloqueio dos mesmos. As operações retomam assim que o pagamento for feito e recebido.
Contudo, há uma nova forma de violação de dados, que surgiu recentemente, e que opera sem recorrer à encriptação. Estes ataques de “extorsão” ou “exfiltração” optam por não encriptar os dados que estão a roubar, mas conseguem, ainda assim, manter as suas vítimas reféns. Através desta nova forma, os cibercriminosos exfiltram conjuntos de dados e replicam-nos na sua própria rede.
Os grupos de ransomware são como as empresas
De acordo com a IBM, o custo médio de um ataque de ransomware em 2023 foi de 4,45 milhões de dólares, o que representa um aumento de 15% nos últimos três anos. Para as empresas, além dos danos de reputação ainda existe uma enorme carga financeiro a suportar.
No entanto, para compreender esta mudança de ataques de ransomware não encriptados, temos de compreender exatamente os cibercriminosos que enfrentamos.
Normalmente, os ataques de ransomware nunca são cometidos por um único agente malicioso. Tendem a ser grupos, que são tão empresas como aqueles a quem roubam informações. Estes grupos também são orientados para o lucro, também procuram a eficiência e também se preocupam com o retorno do investimento. Alguns deles, até contratam recursos para determinadas tarefas, têm equipas de reconhecimento para procurar conjuntos de dados e até têm as suas próprias empresas de relações públicas e de publicidade. Tudo isto tem um custo associado.
Se acrescentarmos a tudo isto uma despesa de encriptação de dados roubados de uma empresa, a criação de ransomware pode ser um negócio dispendioso e a mudança para um modelo de ransomware não encriptado proporciona aos hackers alguns benefícios financeiros significativos.
A encriptação tem um custo
A encriptação de dados é uma tarefa que requer tempo, especialmente se a empresa-alvo em questão tiver um enorme conjunto de dados para roubar. Ao optar por não encriptar estes dados, os piratas informáticos podem selecionar cuidadosamente os conjuntos de dados mais valiosos e retirar as informações sensíveis rapidamente e em grande escala, sem recorrer a ferramentas de encriptação morosas.
Além disso, embora a cifragem em si não seja necessariamente dispendiosa, o processo global de implantação e gestão de software pode exigir muitos recursos e ser tecnicamente difícil.
A história mostrou-nos que muitos tipos de ransomware tinham falhas significativas nas suas implementações de encriptação e desencriptação, pois a encriptação é uma questão técnica. Embora os algoritmos sejam fáceis de obter, a sua implementação num ataque de ransomware requer um certo nível de especialização. O ato de encriptar os dados sem os comprometer é extremamente complexo e nem todos os grupos de ransomware têm os meios para realizar este tipo de ataques.
É por estas razões que os ataques não encriptados aumentaram 40% no último ano, uma vez que os cibercriminosos utilizam estas técnicas, juntamente com a cibercriminalidade baseada na encriptação e os ataques DDoS, para maximizar os lucros.
Então, é necessário perceber como é que as empresas podem resistir a isto e defender-se contra esta tripla ameaça?
A importância da resiliência
Com os dados a crescer exponencialmente e a serem distribuídos em clouds, regiões e aplicações, o ransomware prospera nesta complexidade híbrida. E com os ataques a ocorrerem em minutos e não em meses, as empresas têm de contar com uma combinação de fatores para eliminar as tecnologias e táticas mais sofisticadas que visam infiltrar-se silenciosamente nas suas redes e nas suas cadeias de abastecimento.
Estas soluções incluem uma combinação de formação de recursos humanos, uma maior colaboração entre as equipas e a adoção de ferramentas de ciberdeteção e de scanning. Estas últimas estratégias são talvez as mais importantes na proteção moderna e centram-se, acima de tudo, no aumento da ciber resiliência das empresas.
Hoje em dia, as organizações precisam de uma combinação de ferramentas proativas de prevenção e deteção de ataques de ransomware ou DoS antes de os dados serem comprometidos. Também precisam de uma tecnologia de recuperação sofisticada que permita às organizações recuperar os seus dados de forma fácil e segura, com o mínimo de perda de informação e de tempo de inatividade após um ataque.
Sem estes elementos-chave de ciber resiliência, as empresas ficam expostas à tripla ameaça do ransomware encriptado, ramsomware não encriptado e DDoS. À medida que assistimos a um aumento dos ataques de extorsão e à adoção de um ecossistema de cibercrime complexo e avançado, as empresas já não podem optar por não agir. Chegou o momento de assumir o controlo dos dados.
Luis Feitor é Specialist Systems Engineer na Commvault
