Ransomware: pagar ou não pagar resgate?

Foi em 2015 que o ransomware, malware que usa criptografia para extorquir empresas e pessoas causando perda de acesso a dados, ganhou popularidade depois de ter feito vítimas em todo o mundo. Somente nos Estados Unidos, o FBI recebeu no último ano quase 2,5 mil pedidos de ajuda de companhias em razão da ameaça. Até pouco tempo, não havia casos relevantes no Brasil. Mas agora o quadro mudou e mesmo que eles não sejam divulgados por aqui, já há informações sobre episódios em solo nacional.

Paulo Veloso, diretor para a área de Segurança da HPE, conta que a HPE identificou essa mudança após uma série de encontros com um grupo seleto de profissionais de segurança do setor financeiro que se reúne trimestralmente para debater tendências e desafios do setor. “Há seis meses, comentamos durante o Enterprise Security Summit que não havia exemplos no Brasil. Hoje, já têm. Em seis meses, essa ameaça evoluiu e as empresas está sendo atacadas com mais frequência”, resume o executivo.

Segundo ele, o mercado financeiro, apesar de ser alvo preferencial para fraudes, não está, hoje, na mira dos cibercriminosos que usam como arma o ransomware. O que acontece, explica, é que esse tipo de ameaça visa monetização e em função das fortes políticas de segurança da indústria financeira, obter sucesso com ransomware demanda muito tempo e dinheiro. As verticais menos sofisticadas ou protegidas em termos de segurança, no entanto, estão na lista de prioridade. “Indústria e saúde são alguns exemplos”, conta.

O ambiente regulatório financeiro é um dificultador apontado pelos executivos do segmento. Assim, mecanismos de proteção são prática comum e backup é amplamente usado por empresas financeiras. “Claramente, vemos que o ransomware está voltado para pequenas e médias empresas, em que o cibercriminoso pode ganhar em volume. É nessa faixa que está a maioria dos casos conhecidos de ransomware no Brasil”, diz.

Mas o que acontece quando uma empresa ou pessoa é vítima do ransomware? Deve-se pagar ou não? Até pouco tempo, a recomendação era de ceder às investidas dos cibercriminosos e pagar. A verdade, de acordo com Veloso, é que não há resposta certa.  “Depende muito de a empresa querer assumir o risco. Se ela tem capacidade de recuperar os dados por ter meios de fazer isso, então o fará e não pagará. Caso contrário, não há saída e ela terá de pagar. A palavra aqui é assumir riscos”, observa o executivo.

Geralmente, pequenas e médias empresas não têm planos de prevenção à ataques, políticas de backup ou desaster recovery e, por isso, se veem sem alternativas quando são atacadas por ransomware. Há, no entanto, como minimizar os estragos da ameaça.

Uma alternativa plausível é contar com um plano de resposta para saber como lidar em casos de sequestros virtuais e nesse contexto o apoio integral do board é fundamental, já que muitas vezes colaboradores empenhados na entrega de tarefas diárias, abrem mão da segurança para cumprir metas e preferem não entregar suas máquinas infectadas para as equipes de segurança antes que o estrago seja pior. “O ser humano continua a ser o elo mais frágil”, sentencia Paulo Ricardo Fabri, analista de Segurança da Informação da Serasa Experian.

Os participantes do Enterprise Security Summit concordam que o ponto principal é investir na questão cultural e conscientização dos colaboradores. “O problema não está nas ferramentas e sim na conscientização”, reforça Fábio Moreira, gerente-geral de TI, Segurança e Infraestrutura do PagSeguro UOL.

Além do plano de resposta, a exemplo de um hospital que conta com triagem e classificação de pacientes para verificar o melhor tratamento, negócios precisam seguir a mesma linha, aconselha Gabriel Catropa, Chief Technology Officer (CTO) de cibersegurança da HPE.

Futuro
Veloso relata que o ransomware está agora em fase de evolução. Hoje, ele é baseado em CryptoLocker, mas já indícios de que ele caminha para extração de dados para que os cibercriminosos possam ganhar dinheiro com eles. “Assim, ele passa a misturar dois ataques perigosos.”

Além disso, já há ainda, fora do Brasil, uma modalidade na qual o cibercriminoso acessa informações sequestradas e para liberá-las pede login e senha de serviços, como de bancos e e-mails, do usuário. “Ameaças e invasões sempre vão existir, mas a boa notícia é que há formas de reduzir seus impactos”, finaliza.