Relatório de risco de ransomware: Adotar a mentalidade de assumir uma violação

Vítimas atingidas várias vezes, 78% pagaram o resgate

Um estudo global com 900 profissionais de TI e de segurança revela que 74% das organizações visadas por ransomware foram atacadas várias vezes e 78% das organizações vítimas pagaram um resgate, o que aponta para um ciclo de violações que causam danos crescentes em termos de perdas de receitas, custos operacionais e, nalguns casos, saúde e segurança humanas.

Obter o relatório

Temos de assumir um estado de ameaça sempre presente. Não se trata apenas dos casos notórios de que ouvimos falar todos os trimestres. Isto está a acontecer todos os dias, todos os dias, a uma série de empresas.
Chris Inglis Conselheiro Estratégico, Semperis e primeiro Diretor Nacional Cibernético dos EUA, antigo Diretor Adjunto da NSA

Frequência, gravidade e consequências alarmantes dos ataques

O ransomware, outrora uma ameaça esporádica, evoluiu para um adversário implacável. Os grupos criminosos orquestram vários ataques em rápida sucessão, explorando vulnerabilidades nas organizações. Os sistemas críticos, incluindo o Microsoft Active Directory, são um dos principais alvos de ataque.

O Relatório de Risco de Ransomware 2024 revela estatísticas preocupantes para os líderes empresariais, de TI e de segurança.

Obter o relatório

83%

das organizações que responderam foram vítimas de um ataque de ransomware nos últimos 12 meses

74%

das vítimas de ransomware foram atacadas várias vezes

78%

das vítimas pagaram o resgate (32% pagaram 4 vezes ou mais)

35%

das vítimas que pagaram resgate não receberam chaves de desencriptação ou não conseguiram recuperar os seus ficheiros e bens

Quando ocorrem vários ataques, eles tendem a acontecer em rápida sucessão. Estes dados sugerem que vários grupos criminosos estão a tirar partido das vulnerabilidades das organizações para detonar um segundo ou terceiro ataque malicioso - nalguns casos, em simultâneo.
Simon Hodgkinson Consultor estratégico da Semperis e antigo CISO da BP

Como lidar com o ransomware

As empresas estão a sofrer ataques bem sucedidos de ransomware várias vezes no mesmo ano, o que resulta em encerramentos, despedimentos, perda de receitas e da confiança dos clientes e cancelamento de seguros cibernéticos.

74%

das empresas foram atacadas por ransomware não uma, mas várias vezes - 54% no mesmo dia e a maioria no espaço de uma semana.

78%

das organizações visadas pagaram o resgate - 72% pagaram várias vezes e 32% pagaram 4 vezes ou mais.

Mickey Bresman, Diretor Executivo da Semperis

O custo do que se paga a um grupo de ransomware não é o fim dos danos. E certos ataques não são orientados para o dinheiro; o seu objetivo é causar o caos e a perturbação.
Mickey Bresman Diretor Executivo da Semperis

Os ataques causam perda de dados e interrupções de atividade, mesmo para as vítimas com cópias de segurança gerais

Os ataques de ransomware causam perturbações generalizadas e generalizadas, mesmo para as organizações que têm cópias de segurança gerais implementadas. Os atacantes estão a violar sistemas através de sistemas operativos incorporados, tecnologia desactualizada que não tem tido actualizações de segurança regulares e backdoors há muito esquecidos.

De um modo geral, a complexidade está a aumentar e não se pode fazer muito num dia. A computação em nuvem não diminuiu o fardo nem reduziu a complexidade operacional. É preciso partir do princípio de que está a ocorrer uma atividade maliciosa na rede e é necessário ter a capacidade de a encontrar e desfazer.
Guido Grillenmeier Tecnólogo Principal da Semperis (EMEA)

As empresas podem dizer "não" ao ransomware?

Embora 70% dos inquiridos tivessem um plano de recuperação de identidade em vigor, apenas 27% dos inquiridos tinham sistemas de cópia de segurança dedicados e específicos para o AD. 61% das vítimas de ransomware precisaram de mais de um dia para recuperar a funcionalidade mínima de TI, prolongando as interrupções do negócio.

72%

das vítimas pagaram o resgate várias vezes

32%

pagou o resgate 4 vezes ou mais

Porque é que as empresas pagaram o resgate?

Muitos dos inquiridos referiram o desejo de regressar à atividade normal o mais rapidamente possível como motivo para pagar o resgate. Outros, especialmente os do sector das TI/telecomunicações, pagaram porque tinham um seguro cibernético para cobrir os custos. Outros ainda consideraram que a ameaça aos pacientes, aos clientes, à sua empresa ou à sua reputação valia o preço do resgate. Infelizmente, o pagamento do resgate não garante a receção de chaves de desencriptação utilizáveis. Além disso, os atacantes utilizam frequentemente o ransomware para distribuir malware que pode reinfectar sistemas ou causar outros danos.

Ameaça à empresa, aos clientes ou à reputação

Acesso ao seguro cibernético

Restabelecer rapidamente as operações comerciais

A fraqueza sistémica faz da AD um alvo fácil

Questão de vida ou de morte

O verdadeiro custo do ransomware

Em qualquer organização complexa, as decisões relativas ao orçamento, ao pessoal e aos recursos de segurança são um ato de equilíbrio. No entanto, no caso do ransomware, a liderança executiva pode estar a tomar essas decisões sem uma compreensão completa dos potenciais custos após um ataque. O pagamento de um resgate não garante a receção de chaves de desencriptação utilizáveis. Além disso, os atacantes utilizam frequentemente o ransomware para distribuir malware que pode reinfectar sistemas ou causar outros danos. Um ataque bem sucedido custa normalmente muito mais do que o pagamento de um resgate.

Os ataques de ransomware causam danos colaterais muito para além do pagamento do resgate

O pagamento do resgate em si é apenas o início dos custos incorridos com um ataque de ransomware.

"O custo do pagamento do resgate não é a soma total dos danos reais", afirma Mickey Bresman, CEO da Semperis. "Certos ataques não são motivados por dinheiro, mas sim pelo objetivo de causar caos e perturbações. Além disso, o dinheiro pago está a ser utilizado para outras actividades criminosas, como o tráfico de seres humanos, drogas e armas."

Chris Inglis observou que um ataque de ransomware não é um evento único ou limitado que pode ser resolvido rapidamente e depois ultrapassado.

"Trata-se de um evento que muda a vida das pessoas e que tem efeitos duradouros e persistentes. Perda de confiança do cliente, perda de seguro cibernético, processos regulamentares... esse escrutínio nunca desaparece."

Perturbação das actividades

Encerramentos temporários ou permanentes

Danos à marca

Perda de receitas ou de clientes

Coimas, acções judiciais e anulação do seguro cibernético

Mais de 80% de todas as violações envolvem abuso de credenciais

Despedimentos e demissões

Poucas empresas mantêm uma proteção de identidade específica

O sistema de identidade, particularmente o Active Directory, é agora o perímetro de segurança das organizações empresariais. A digitalização da empresa moderna eliminou a idéia de um perímetro defensável, criando um cenário complexo para os profissionais de segurança - e uma ampla superfície de ataque para os criminosos cibernéticos. Sem cópias de segurança específicas do AD e sem malware, e sem um plano de recuperação ciber-específico testado, a recuperação será prolongada, aumentando a possibilidade de a organização decidir pagar um resgate para restaurar as operações comerciais.

No centro de toda esta discussão está a viabilidade do negócio: a capacidade da empresa para atingir as suas aspirações e os seus compromissos em nome dos seus accionistas e clientes. Os atacantes estão a tentar pôr isso em risco para depois poderem convencer o cliente a comprá-los. Se conseguirem efetuar um ataque bem sucedido à identidade, passam a deter o privilégio e podem utilizar esse privilégio em seu benefício.
Chris Inglis Consultor estratégico da Semperis e primeiro diretor nacional de cibersegurança dos EUA

Tudo está relacionado com o núcleo do acesso. Quando um atacante obtém acesso de Nível 0, o tempo para proteger a restante infraestrutura é limitado.
Jeff Wichman Diretor Sénior de Resposta a Incidentes

Cada minuto que o sistema de identidade está em baixo é extremamente doloroso. Conversei com um cliente que testou o plano de recuperação do Active Diretory (AD) com os sistemas que tinham em funcionamento. Concluíram que a atenuação de um ataque demoraria sete dias. Isso não é aceitável, porque significa que tudo o resto na organização também estará em baixo durante sete dias.
Mickey Bresman Diretor Executivo da Semperis

Não me surpreende que a maioria do ransomware tenha como alvo o sistema de identidade. Se um atacante quiser criar o máximo impacto para extorquir dinheiro, ele quer assumir o controle do seu ambiente - e com certeza vai querer ser o dono do Active Directory. Quando o Active Directory é comprometido, os agentes da ameaça têm as chaves do seu reino.
Simon Hodgkinson Consultor estratégico da Semperis e antigo CISO da BP

Porque é que as organizações não estão a dar prioridade à defesa contra o ransomware?

As organizações enfrentam vários desafios para pôr em prática uma estratégia de defesa contra o ransomware em camadas. A maioria dos inquiridos referiu que o seu maior obstáculo à resiliência era a falta de apoio do conselho de administração.

Chris Inglis observa que uma cibersegurança eficaz requer uma abordagem em três vertentes que inclui doutrina empresarial, desenvolvimento de competências e tecnologia. Primeiro passo: Explicar o valor da segurança com prioridade à identidade em termos comerciais

"A tecnologia pode ajudar-nos a analisar e avaliar o que está a acontecer, momento a momento", afirma Inglis. "Pode ajudar-nos a responder mais rapidamente e a recuperar mais rapidamente. Mas o que é mais necessário agora é uma perceção colectiva de que todos temos um papel a desempenhar. Isso começa com o conselho de administração, não com o departamento de TI. O conselho de administração é responsável; a SEC deixou isso bem claro. Os regulamentos estão a tornar cada vez mais claro: a cibersegurança é uma questão comercial."

Falta de apoio da direção

Restrições orçamentais

Sistemas desactualizados ou antigos

Escassez de pessoal

Regulamentos sobre cibersegurança

As pessoas tendem a colocar os seus recursos e esforços na proteção dos terminais. Mas os agentes de ameaças ultrapassam o endpoint. E quando estão dentro da rede, passam por todo o sistema de identidade. Qual é a defesa que temos quando isso acontece? Porque uma vez que eles possuem o seu sistema de identidade, eles têm todo o poder. Se o seu sistema de identidade for abaixo, nenhuma das suas outras soluções funcionará.
Sean Deuby Tecnólogo Principal da Semperis (América do Norte)

Mais recursos

Saiba mais sobre como prevenir, detetar e responder a ataques baseados em identidade.

Conheça o Silver SAML: Golden SAML na nuvem

Blog

Defesa contra ataques de injeção de LDAP: Segurança do AD 101

Blog

Semperis DSP: Reforçar a proteção do AD e do Entra ID contra ameaças cibernéticas

Blog

Ataques ao Active Diretory: 5 métodos comuns de ataque ao AD

Blog

Ver tudo

Experimente uma demonstração personalizada

Solicite uma demonstração e um dos nossos especialistas em produtos dar-lhe-á a conhecer as nossas soluções.

Solicitar uma demonstração Visite a plataforma

Novo relatório TEI da Forrester: A Semperis reduz o tempo de inatividade em 90%, poupando milhões aos clientes

A Semperis amplia a deteção de ataques baseados em ML com foco especializado em risco de identidade

Semperis ganha o prestigiado Guia do Programa de Parceiros da CRN por três anos consecutivos

Estudo da Semperis sobre ransomware revela que 86% das vítimas de ransomware são visadas num fim de semana ou feriado

A Semperis foi nomeada para a lista anual de melhores empresas para trabalhar da revista Inc. Lista Anual das Melhores Empresas para Trabalhar da revista Inc. pelo terceiro ano consecutivo