.
Os custos associados a ataques de ransomware em organizações de infraestrutura nacional crítica (CNI) dispararam no ano passado.
De acordo com os últimos números da Sophos, divulgados hoje, os pagamentos medianos de resgate subiram para US$ 2,54 milhões — impressionantes 41 vezes a soma do ano passado de US$ 62.500. O pagamento médio para 2024 é ainda maior, US$ 3,225 milhões, embora isso represente um aumento menos dramático de 6x.
Os setores de TI, tecnologia e telecomunicações foram os menos propensos a pagar grandes quantias de dinheiro aos criminosos cibernéticos, com um pagamento médio de US$ 330.000, enquanto organizações de ensino inferior e do governo federal relataram os maiores pagamentos médios, de US$ 6,6 milhões.
Os números são baseados apenas em vítimas de ransomware que estavam dispostas a revelar os detalhes de seus erros, portanto, não apresentam o quadro completo.
Sobre o tópico de pagamentos de resgate, apenas 86 organizações CNI do total de 275 envolvidas na pesquisa ofereceram dados. Há uma boa chance de que os números seriam distorcidos se 100 por cento do total de vítimas de ransomware CNI pesquisadas fossem totalmente transparentes com seus números.
Os custos de recuperação de ataques de ransomware também aumentaram significativamente em comparação ao relatório dos pesquisadores do ano passado, com os custos de alguns setores da CNI quadruplicando para uma média de US$ 3 milhões por incidente.
Enquanto o custo médio em petróleo, gás, energia e serviços públicos caiu ligeiramente para US$ 3,12 milhões de US$ 3,17 milhões no ano passado, os setores de energia e água tiveram o aumento mais acentuado nos custos de recuperação. A nova média apenas para esses dois setores é agora quatro vezes maior do que a média global intersetorial de US$ 750 mil, disse a Sophos.
Os dois setores também foram os segundos mais visados, com 67% das organizações relatando interrupções como resultado de um ataque, em comparação com a média global de 59%.
Então, os ataques estão se tornando mais custosos e cada vez mais bem-sucedidos também. Pode não ser nenhuma surpresa, então, que os setores de energia e água também estejam ficando mais lentos na recuperação desses ataques.
Apenas um em cada cinco conseguiu se recuperar em uma semana ou menos, de acordo com a pesquisa, em comparação com 41% no ano anterior e 50% no ano anterior a esse. As coisas estão piores no outro extremo da escala também – o número de vítimas que levaram mais de um mês para se recuperar também aumentou para 55%, de 36% no ano passado.
A Sophos mencionou em seu relatório que isso pode ser devido a ataques se tornando mais sofisticados e mais complexos, exigindo assim mais trabalho da equipe de TI para remediar completamente todos os danos causados pelos criminosos. No entanto, o CTO de campo global do fornecedor, Chester Wisniewski, disse que talvez os setores devessem reconsiderar sua disposição de pagar resgates.
“Isso mostra mais uma vez que pagar resgates quase sempre vai contra nossos melhores interesses. Um número crescente (61%) pagou o resgate como parte de sua recuperação, mas o tempo que levou para recuperar foi estendido. Essas altas taxas e quantias de resgates não apenas encorajam mais ataques ao setor, mas também não estão atingindo a meta reivindicada de tempos de recuperação mais curtos.”
O debate em torno da introdução de leis para proibir pagamentos de resgate continua a polarizar os membros da indústria de infosec. Os EUA lideram a Counter Ransomware Initiative (CRI), cujos membros prometeram parar de pagar resgates, embora isso não seja legalmente vinculativo e pareça estar tendo pouco efeito no mundo real.
Jen Easterly, diretora da Agência de Segurança Cibernética e de Infraestrutura (CISA), disse em um evento recente que não prevê uma proibição total de pagamentos entrando em vigor e que não era uma medida prática.
Em vez disso, ela mencionou o CIRCIA, que reflete o que o primeiro-ministro do Reino Unido, Kier Starmer, planeja introduzir com o Projeto de Lei de Segurança Cibernética e Resiliência do Reino Unido, impondo requisitos aos operadores de CNI para divulgar ataques de ransomware.
O projeto de lei também terá como objetivo melhorar a postura de segurança cibernética dos setores críticos do Reino Unido e da cadeia de suprimentos mais ampla — um foco da promessa Secure by Design da CISA, que visa pressionar os fornecedores a manterem seus softwares mais seguros do que são atualmente.
E as mudanças não podem vir cedo o suficiente, se os números da Sophos servirem de referência. Vulnerabilidades exploradas lideraram a lista de causas raiz para ataques de ransomware CNI mais uma vez este ano. Elas foram responsáveis por metade (49 por cento) de todos os incidentes, em comparação com 35 por cento no ano passado. ®
.
