Nos últimos anos, a crescente sofisticação dos crimes financeiros tem motivado cibercriminosos a buscarem brechas e realizar ataques cada vez mais inovadores. A promessa de ganhos financeiros substanciais faz com que esses criminosos virtuais desenvolvam novas técnicas e aprimorem métodos já conhecidos, resultando em um aumento significativo dos ataques cibernéticos de extorsão.
De acordo com o relatório 2024 Data Breach Investigations Report da Verizon, aproximadamente um terço de todas as violações (32%) envolveu ataques de ransomware ou alguma outra técnica de extorsão. Os ataques de pura extorsão aumentaram no ano passado e agora representam 9% de todas as violações. Esses números reforçam o que tem se observado nos últimos três anos: a combinação de ransomware e outras violações de extorsão foi responsável por quase dois terços dos ciberataques com motivação financeira, oscilando entre 59% e 66% nesse período.
Da mesma forma, nos últimos dois anos, um quarto dos ataques com motivação financeira (variando entre 24% e 25%) envolveu a técnica de pretexting, uma categoria de ataques de engenharia social, quando uma narrativa falsa ou um pretexto convincente é criado para persuadir a vítima a revelar dados pessoais ou sensíveis, sendo que a maioria delas representou casos de Business Email Compromise (BEC), que envolvem o envio de mensagens falsas de e-mail em nome da empresa.
“Os ataques de ransomware têm um impacto devastador nas corporações, tanto financeiramente quanto tecnicamente, além de danificar gravemente a imagem das empresas. Embora as consequências sejam grandiosas, esses ataques muitas vezes começam com incidentes de execução simples, como uma credencial vazada ou uma técnica de engenharia social. Estes métodos iniciais, muitas vezes ignorados pelas corporações, podem abrir as portas para invasões cibernéticas que resultam em prejuízos multimilionários e na perda de confiança dos clientes”, explica Maurício Paranhos, CCO da brasileira Apura Cyber Intelligence, que colaborou com o relatório da Verizon.
Paranhos destaca que entender o cenário de extorsão cibernética é chave fundamental para que empresas como a Apura continuem desenvolvendo uma série de soluções e medidas para mitigar a ação dos criminosos. Por isso, é preciso observar os dados e tentar extrair deles o máximo de informações possível.
Um dos custos mais fáceis de quantificar é o valor associado ao pagamento do resgate. Analisando o conjunto de dados estatísticos do Internet Crime Complaint Center (IC3) do FBI deste ano, descobriu-se que a perda mediana ajustada (após a recuperação de fundos por parte da fiscalização) para aqueles que pagaram resgate foi de cerca de US$ 46.000. Este valor representa um aumento significativo em relação à mediana do ano anterior, que era de US$ 26.000. No entanto, é importante considerar que apenas 4% das tentativas de extorsão resultaram em perda real este ano, em comparação com 7% no ano passado.
Outra maneira de analisar os dados é observar as demandas de resgate como uma porcentagem da receita total das organizações vítimas. O valor médio do pedido inicial de resgate foi equivalente a 1,34% da receita total da organização, com 50% das demandas variando entre 0,13% e 8,30%. Esta ampla variação indica que alguns dos casos mais graves chegam a exigir até 24% da receita total da vítima. Essas faixas de valores podem ajudar as organizações a executarem cenários de risco com um olhar mais atento para os potenciais custos diretos associados a um ataque de ransomware.
“Embora muitos outros fatores também devam ser considerados, esses dados fornecem um ponto de partida valioso para entender a dimensão financeira dos ataques de ransomware. A crescente incidência desses ataques e a diversidade das técnicas utilizadas pelos cibercriminosos reforçam a necessidade de uma vigilância constante e de estratégias robustas de cibersegurança para mitigar os riscos e os impactos financeiros associados a esses crimes.”, explica Paranhos.
A intrusão de sistemas continua a ser o principal padrão das violações, em oposição aos incidentes, onde os ataques de negação de serviço (DoS) ainda reinam. Tanto os padrões de Engenharia Social como os de Erros Diversos aumentaram sensivelmente desde o ano passado. Por outro lado, o padrão Basic Web Application Attacks caiu drasticamente de sua posição no DBIR de 2023. O relatório DBIR também apresenta as técnicas mais relevantes do MITRE ATT&CK e os respectivos controles críticos de segurança do Centro de Segurança da Internet (CIS) que podem ser adotados para mitigar diversos desses padrões: intrusão de sistemas, engenharia social, ataques básicos em aplicações web, erros diversos, DoS, roubo ou perda de ativos, abuso de privilégios.
“Com essas informações em mãos, as organizações podem aprimorar suas defesas e estar melhor preparadas para enfrentar os desafios impostos pelos cibercriminosos, garantindo assim uma proteção mais eficaz contra as ameaças cibernéticas em constante evolução”, diz o especialista.