Cybersecurity Talks: devemos pagar um resgate num ataque de ransomware?

A terceira edição das Claranet Cybersecurity Talks reuniu as autoridades e especialistas portugueses em cibersegurança para um olhar mais atento sobre os perigos do ransomware – e sobre as formas de o prevenir e combater.

Claranet - Cybersecurity Talks

O ransomware é o tipo de ciberataque com maior crescimento em todo o mundo, registando-se atualmente um novo ataque a cada 11 segundos, que afeta sobretudo organizações nas áreas da saúde, utilities e seguradoras. O cenário é descrito por António Ribeiro, Cybersecurity Manager da Claranet Portugal - como exemplo da força que este tipo de ataques está a assumir a nível global.

Durante a terceira edição das Cybersecurity Talks – uma série de Live Webinars sobre cibersegurança, organizada pela Claranet -, António Ribeiro falou de um tipo de ataque cada vez mais criativo, que passou de uma forma única de extorsão para uma prática complexa – de tripla extorsão -, que pode afetar diretamente as organizações atacadas e, de forma colateral, os clientes e até os fornecedores.

Segundo o especialista da Claranet, o processo de recuperação de um ataque de ransomware pode custar à organização atacada até dez vezes o valor do resgate exigido pelos cibercriminosos. Uma situação que torna necessário o investimento em serviços de monitorização permanente das infraestruturas de TI das organizações, bem como uma aposta cada vez maior no planeamento e no desenho de projetos de proteção.

António Ribeiro deixou ainda o alerta para os perigos das organizações que são alvo de ataques de ransomware pagarem os resgates exigidos: além não garantirem que os cibercriminosos fornecem as chaves para desbloquear a informação comprometida, não há garantias de que os ataques não voltam a ocorrer:


Cerca de 80% das vítimas que pagaram o resgate num ataque de ransomware voltaram a ser atacadas num espaço de tempo recente.

António Ribeiro
Cybersecurity Manager
Claranet

Portugal em alerta

Rogério Bravo, Inspetor-chefe da Polícia Judiciária e perito no combate à criminalidade informática, descreveu nesta sessão das Cybersecurity Talks o modus operandi mais frequente dos cibercriminosos em Portugal para preparar os ataques de ransomware: tudo começa com um ataque de phishing a um colaborador, provocando o compromisso da respetiva conta e a entrada no sistema da organização; a partir daí fazem a cifragem dos dados e comprometem a informação e os backups, de forma a pedir um resgate em troca da chave para libertar os dados comprometidos.

O especialista da Polícia Judiciária refere ainda que grande parte da solução para evitar, ou minimizar o impacto deste tipo de ataques, passa pela sensibilização dos responsáveis das organizações e dos colaboradores, bem como as devidas precauções a ter com a proteção das infraestruturas:

Na trilogia da cibersegurança [Tecnologia, Pessoas e Processos] há que começar a ter mais atenção nas pessoas.

Claranet Cyber Security

Se no caso dos colaboradores a sensibilização e preparação podem ser importantes nos comportamentos que previnam a entrada dos cibercriminosos nos sistemas, para os decisores torna-se crucial conhecer alguns aspetos associados ao ransomware, nomeadamente:

  • Um ataque pode provocar graves danos à imagem corporativa;
  • O pagamento de um resgate significa, na prática, um estímulo ao financiamento do crime;
  • É possível que as autoridades ou outras instituições de apoio já disponham de métodos de prevenção para o ataque, mesmo que este não seja do conhecimento da organização atacada;
  • O conhecimento de projetos como o nomoreransom.org pode ser o primeiro passo para uma proteção – ou mitigação de ataques – efetiva.

A importância de comunicar um ataque

Em cerca de nove anos a Polícia Judiciária recebeu 600 casos reportados de ataques a organizações portuguesas. Rogério Bravo refere que são números que pouco representam a realidade nacional, sobretudo porque a maioria das organizações atacadas prefere não comunicar os respetivos incidentes.

O responsável da Polícia Judiciária refere que a comunicação imediata às autoridades, da ocorrência de um ataque, é de extrema importância para a empresa afetada e para o próprio mercado, já que fornece pistas relevantes para preparar respostas a incidentes futuros - partilha dos samples do ataque para identificação de estirpes, modificações e chaves usadas pelos criminosos; partilha de soluções; melhor perceção da atuação do crime organizado; melhoria da legislação associada ao cibercrime; mais campanhas de sensibilização, com o consequente aumento do conhecimento por parte de organizações e utilizadores.

Rogério Bravo revela também que a denúncia dos ataques pode ajudar as organizações a acautelar incumprimentos financeiros junto de instituições públicas e outras, uma vez que as autoridades fornecem uma certidão que atesta o sucedido, a qual poderá ser usada em termos legais.

O representante da Polícia Judiciária abordou ainda as dúvidas que, cada vez mais, surgem em relação às motivações dos ataques de ransomware – colocando mesmo a questão se, em alguns casos, se trata realmente de um incidente deste tipo. Para este responsável, à motivação financeira juntam-se interesses económicos para prejudicar terceiros (determinada indústria, instituição ou setor de atividade), motivações políticas ou ações dissimuladas perpetradas por Estados.

Após uma simulação de um ataque de ransomware realizada por especialistas em cibersegurança da Claranet Portugal, as Cybersecurity Talks terminaram com a indicação da receita mais adequada para as organizações acautelarem ou mitigarem os efeitos deste e de outro tipo de ciberataques: formar os utilizadores; apostar em soluções de Security Information Event Management (SIEM), de Endpoint Protection e de monitorização; ter em dia os patches de atualização dos sistemas; e nunca pagar qualquer resgate exigido num ataque.

Assista à terceira edição do Cybersecurity Talks ou saiba mais sobre Cybersecurity