Um relatório publicado recentemente revelou que 58% das vítimas de ransomware em 2021 pagaram resgate para cibercriminosos ao serem atacadas, seja para recuperar dados criptografados ou para evitar a publicação de informações confidenciais. Os e-mails de phishing foram a principal porta de entrada para ataques de ransomware, seguido pelo uso de dados de login roubados, através de terceiros, servidores sem patch ou ataques de força bruta. Além disso, 1 em cada 6 empresas que reportaram ciberataques foram extorquidas.
Os dados provêm de um relatório da seguradora Hiscox, que funciona na Europa e nos Estados Unidos. O documento avaliou as capacidades de gerenciamento de ameaças cibernéticas de empresas na Bélgica, França, Alemanha, Irlanda, Espanha, Holanda, Reino Unido e Estados Unidos. Das mais de 6 mil empresas que foram entrevistadas para este relatório, mais de 2.600 enfrentaram pelo menos um ciberataque, representando 43% das organizações e um aumento de 5% no número de empresas vítimas de um ciberataque entre 2020 e 2021.
No caso das empresas espanholas, apenas 9% foram consideradas especialistas em cibersegurança e 53% foram classificadas como propensas a sofrer um ataque cibernético. Por outro lado, 64% das empresas na Espanha que foram vítimas de ransomware decidiram pagar os criminosos e 47% delas sofreram outro ciberataque.
Veja mais: Ransomware: pagar ou não pagar? é legal ou ilegal?
Em comparação com os outros países, as empresas na Bélgica são as mais propensas a sofrer um ataque de ransomware e são também as que menos investem em cibersegurança com uma média de 1,7 milhões de euros, enquanto as da Holanda são as menos propensas a serem vítimas de ransomware. Enquanto isso, as empresas nos Estados Unidos são as mais capazes de administrar as ameaças cibernéticas e também é onde se registrou a menor média de custo por ataque. No caso da Alemanha, as empresas foram as que mais investiram em segurança cibernética, com uma média de 5 milhões de euros. Entretanto, o custo médio de um ataque cibernético foi o mais alto, com uma média de cerca de 21.800 euros por empresa.
No caso da França, 49% das empresas disseram ter sido vítimas de um ataque cibernético, enquanto as do Reino Unido são as menos prováveis de terem sofrido um ataque cibernético com um total de 36%.
Como os atacantes conseguiram invadir as empresas
Como mencionamos em outras publicações, a superfície de ataque aumentou nos últimos anos, forçando as organizações a dedicar mais esforços e investimentos para garantir a segurança de todos os pontos de entrada possíveis que pudessem ser utilizados por atacantes. Neste sentido, de acordo com o relatório, os vetores de ataque mais comuns para obter acesso inicial foram:
- Através de servidores das empresas (37%), seja pela exploração de uma vulnerabilidade ou por meio de dados de acesso;
- Através de servidores corporativos hospedados na nuvem (31%);
- Através de um site da empresa (29%). Por exemplo, por meio de ataques DDoS;
- Como resultado de erros humanos (28%). Por exemplo, via phishing;
- Através dos celulares corporativos (26%);
- Através dos celulares dos funcionários (23%);
- Através de um terceiro que tenha sofrido o comprometimento de um servidor, dispositivo ou site.
No caso do ransomware, os e-mails de phishing foram o principal vetor de acesso inicial (65%), seguido pelo uso de dados de login roubados e reutilizados (43%), através de terceiros (34%) que foram comprometidos (por exemplo, um fornecedor), através da exploração de uma vulnerabilidade (30%) em um servidor ou tecnologia desatualizada, e através de ataques de força bruta (23%).
No caso das vulnerabilidades mais exploradas pelos grupos de ransomware para obter acesso inicial, em 2021 os pesquisadores criaram uma lista das vulnerabilidades mais exploradas por esses grupos. Para reforçar a importância de avaliar todas essas informações ao analisar e avaliar processos na gestão de segurança de uma organização, agências de cibersegurança de vários países revelaram recentemente os 10 vetores de acesso inicial mais utilizados por cibercriminosos para obter acesso às redes de uma organização.
Formas de ataques cibernéticos mais comuns
Muitas empresas vítimas tiveram que lidar com mais de um ataque. Na verdade, 28% das empresas entrevistadas foram atacadas mais de cinco vezes durante 2021 e 33% tiveram que lidar com atacantes mais de 25 vezes em um ano. Nestes casos, os tipos de ataques que mais sofreram foram de outros malwares diferente do ransomware (31%), seguidos por golpes do tipo BEC (28%), ataques DDoS (27%), má uso de recursos de TI (25%) e ransomware (16%).
Veja mais: Mais de 1,7 milhão de dados de acesso a serviços públicos foram roubados através de malware
O custo dos ataques cibernéticos
Em termos de custos como resultado de ciberataques, para pequenas empresas com até 10 funcionários, o custo médio foi de um pouco mais de 8.200 euros, enquanto que para empresas maiores com mais de 1 mil funcionários as perdas foram de 280 mil euros e em alguns casos os números ultrapassaram 430 mil dólares. No caso de empresas de médio porte, este valor era de aproximadamente 21.800 euros.
Com relação ao pagamento de um resgate devido a um ransomware, o valor médio pago aos atacantes foi de 10.800 euros.
Além dos custos financeiros, sempre mencionamos os prejuízos a reputação causados por um ataque. A este respeito, 23% das empresas que foram vítimas de um ataque disseram ter sofrido um impacto de reputação devido ao incidente de segurança.
O relatório destaca que um dos principais pontos fortes que as empresas especialistas em abordar a segurança têm tido no gerenciamento de sua resiliência é melhoria da probabilidade de recuperação de seus dados no caso de um incidente. Tudo isso é obtivo através de mais investimento, um fator chave ao analisar a resiliência de uma empresa. Para se ter uma ideia de quanto é o orçamento que as empresas estão investindo em segurança na Europa e nos EUA, as que estão mais bem preparadas gastam em média 24% de seu orçamento de TI em segurança cibernética, enquanto aquelas que são mais novas e com menos recursos gastam algo em torno a 17%.
Nos próximos 12 meses, 63% das organizações planejam aumentar seus gastos em segurança cibernética, sendo as tecnologias, as auditorias, a prevenção e o treinamento os principais focos.
Tony Anscombe, Security Evangelist da ESET, destacou em um post publicado anteriormente dicas para uma lista de prioridades na hora de verificar os processos e operações de uma empresa com o objetivo de melhorar a resiliência cibernética.