Quase metade das respostas a incidentes da Kaspersky foram por causa de ransomware

A Equipe Global de Resposta a Emergências da Kaspersky (GERT) é mobilizada pelas companhias de médio e grande porte que sofrem violações de segurança para mitigar os danos e evitar a disseminação do ataque. Esse procedimento é chamado de resposta a incidentes (IR). De janeiro a novembro de 2021, praticamente metade desses casos atendidos esteve associado a ransomware, o que representa um aumento de quase 12% em relação a 2020.

Os operadores de ransomware aprimoraram seus arsenais, concentrando-se em menos ataques e direcionando-os para organizações de grande escala. Além disso, criou-se um ecossistema clandestino inteiro para suportar essas iniciativas.

Nos primeiros 11 meses do ano passado, a porcentagem de solicitações de IR processadas pela equipe do GERT da Kaspersky com relação à ransomware foi de 46,7% do total – um salto comparado com os 37,9% de 2020 e dos 34% de 2019 (ano completo). Os principais afetados foram áreas governamentais e o setor industrial. Juntos, ambos os ataques representaram quase 50% de todas as solicitações de IR de ransomware no período. Outros alvos populares incluíram instituições financeiras e empresas de tecnologia.

Em 2022, os especialistas da Kaspersky acreditam que as gangues de ransomware devem construir versões Linux de seus ransomware para ampliar a superfície de ataque. Isso já ocorre com os grupos RansomExx e DarkSide. Além disso, os operadores começarão a focar mais na “chantagem financeira”. Neste caso, as ameaças de vazamento de informações críticas ocorrem no momento em que as empresas estão passando por um evento financeiro importante, como uma fusão, aquisição ou abertura de capital, e que pode desvalorizar suas ações.

“Hoje em dia, todos os grupos que atuam com ransomware utilizam a dupla chantagem (exfiltrar e criptografar). Se a empresa não se preocupar antes de ser vítima, há muito pouco o que se pode fazer para mitigar os danos ou a multa pela LGPD. Entre as principais ações que devem ser tomadas, destaco a diminuição da superfície de ataque com a correção de vulnerabilidades e políticas efetivas de acesso às informações, monitoramento de atividades suspeitas na rede para identificação precoce do ataque, treinamento amplo (de conscientização e de especialização) para que as equipes saibam lidar com este problema e tecnologias efetivas de prevenção, como criptografia e a melhor proteção contra ransomware do mercado”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.

Para proteger as empresas contra os ransomware, os especialistas da Kaspersky recomendam:

• Não expor as ferramentas de conexões remota (como o RDP) em redes públicas, a menos que seja absolutamente necessário. Nesses casos, sempre usar senhas fortes e VPN neles.
• Aplicar imediatamente as atualizações e correções nas VPNs para impedir acessos indevidos.
• Os patches devem ser executados em todos os programas e sistemas operacionais para evitar que o ransomware explore vulnerabilidades.
• Focar a estratégia de defesa na detecção de movimentações laterais e de exfiltração de dados para a internet.
• Fazer backup de seus dados regularmente. Garantir o rápido acesso a eles quando necessário em uma emergência. E ter acesso às informações mais recentes de Threat Intelligence para conhecer as táticas, técnicas e procedimentos (TTPs) usados por estes grupos.