Nos últimos anos, e com um aumento significativo em 2020, o ransomware se tornou uma das ameaças mais temidas pelas organizações na América Latina. Esses ataques buscam criptografar os dados da vítima e exigem o pagamento de um resgate para liberá-los, e têm um alto impacto e custo associado além do pagamento de um resgate – algo que não deveria ser feito.

Esses ataques podem afetar as operações cotidianas e causar perdas financeiras, além de representar um risco à segurança pública e prejudicar a reputação da empresa vítima.

Essa ameaça afeta vários setores, mas os cibercriminosos por trás desses ataques têm certas preferências em termos dos tipos de empresas afetadas. A seguir, veremos por que e como os grupos de ransomware escolhem seus tipos de vítimas.

O que os atacantes estão procurando?

Além das situações que as organizações individuais podem ter, como a robustez da infraestrutura ou os controles de cibersegurança, há determinados setores que são naturalmente interessantes para os operadores da ameaça.

Vamos examinar os três principais componentes dessas ameaças que nos permitem entender isso.

Tipos e sensibilidade dos dados

Primeiro, os dados a serem criptografados e possivelmente roubados para venda posterior são essenciais. As organizações que armazenam grandes volumes de informações, sejam elas PMEs (Pequenas e Médias Empresas) ou multinacionais, são alvos tentadores devido ao grande volume de dados que possuem.

Esses dados podem incluir informações pessoais e financeiras de clientes, registros médicos, dados de transações e outras informações confidenciais que podem ser usadas para extorquir dinheiro da empresa ou vendidas no mercado clandestino.

Quanto mais sensível for a informação criptografada, maior será a probabilidade de a organização visada se preocupar em protegê-la e pagar um resgate, e mais valiosa ela será para extorsão ou venda.

Confiança do público na organização

Uma empresa é um alvo atrativo para ataques de ransomware com base na confiança que estabeleceu com seus clientes e partes interessadas. Os cibercriminosos tendem a se concentrar em organizações cuja reputação e credibilidade são pilares fundamentais de suas operações.

Ao ameaçar divulgar um ataque ou expor dados confidenciais, os atacantes podem exercer grande pressão sobre essas empresas, aumentando assim a eficácia de suas extorsões. As organizações que dependem muito da confiança de seus clientes, como instituições financeiras, governamentais e de saúde, são alvos prioritários devido aos enormes prejuízos à reputação que podem sofrer se forem comprometidas publicamente.

Disponibilidade de recursos financeiros

O terceiro componente que pode tornar uma empresa um alvo de ransomware é a disponibilidade de recursos financeiros para pagar um resgate. No entanto, é fundamental observar que esse componente não é o mais importante. Muitas vezes, as PMEs também são vítimas de ataques de ransomware, apesar de não terem os mesmos recursos financeiros que as grandes corporações. Nesses casos, os atacantes podem exigir resgates menores, mas o valor ainda pode ser devastador para essas empresas. Na América Latina, houve vários casos de PMEs que, após um ataque de ransomware, enfrentaram sérias dificuldades operacionais como resultado.

É importante observar que há mais fatores e que cada grupo criminoso é diferente. Por exemplo, há grupos motivados puramente por ativismo, conhecidos como hacktivistas.

Setores mais visados

Com esses três pontos principais em mente, vamos analisar quais setores são mais visados por esse tipo de ameaça.

Setor financeiro

Com os pontos acima, não é surpresa que esse setor seja um dos mais visados. Trata-se de um dos setores mais críticos e vulneráveis a ataques de ransomware devido à natureza de sua operação e à sensibilidade das informações com as quais lida.

Bancos, seguradoras, corretoras e outras instituições financeiras não apenas gerenciam grandes quantias de dinheiro, mas também armazenam dados extremamente valiosos e confidenciais que são altamente cobiçados por cibercriminosos.

As instituições financeiras operam com grandes volumes de transações diárias que envolvem quantias significativas de dinheiro. Essas transações variam de pagamentos e transferências a investimentos e seguros, criando um ambiente atrativo para os invasores que buscam explorar a interrupção desses serviços para obter um resgate.

A capacidade de paralisar um banco ou uma bolsa de valores pode causar um caos financeiro considerável, colocando uma enorme pressão sobre a instituição para resolver o incidente rapidamente, às vezes até cometendo o erro de pagar o resgate solicitado.

Cientes de seu valor para o cibercrime, as instituições financeiras geralmente investem grandes somas de dinheiro em cibersegurança a cada ano. Esses investimentos vão desde a implementação de uma infraestrutura robusta, passando por soluções de criptografia, até a simulação de perda de operações, incluindo restaurações.

Setor público

O setor público, que inclui órgãos governamentais, municípios e outras instituições estatais, é outro dos setores mais afetados por ataques de ransomware.

Esse setor lida com uma grande quantidade de informações críticas e executa funções essenciais que são vitais para o funcionamento diário da sociedade. A interrupção desses serviços pode ter consequências graves e generalizadas, tornando as instituições públicas alvos muito interessantes para os cibercriminosos.

Os órgãos governamentais gerenciam grandes volumes de dados pessoais dos cidadãos, incluindo números de identificação, endereços, informações fiscais e de saúde, entre outros.

Esses dados são altamente confidenciais e valiosos no mercado negro, pois podem ser usados para fraudes, roubo de identidade e outros crimes. Além disso, os sistemas governamentais lidam com informações confidenciais relacionadas à segurança nacional, infraestrutura crítica e estratégias políticas, o que aumenta ainda mais sua atratividade para os invasores.

Além disso, a confiança do público na capacidade do governo de proteger as informações e manter a continuidade operacional é fundamental. Um ataque de ransomware que expõe ou compromete dados confidenciais pode minar essa confiança, o que, por sua vez, pode ter implicações políticas e sociais significativas. A percepção de falta de segurança pode minar a credibilidade do governo e gerar descontentamento entre os cidadãos.

No Brasil, em janeiro deste ano, o governo federal registrou o maior patamar desses ataques para o mês em quatro anos. Foram, em média, 32 ataques cibernéticos por dia contra órgãos do Executivo no primeiro mês de 2024, segundo dados do Gabinete de Segurança Institucional da Presidência da República (GSI).

Setor de saúde

Durante a pandemia de Covid-19, o setor de saúde tornou-se o principal alvo dos cibercriminosos. A urgência e a pressão sobre as instituições de saúde significavam que qualquer interrupção causada por um ataque de ransomware tinha consequências ainda mais graves. Os atacantes tiraram proveito da situação, percebendo que os hospitais e outras instalações médicas estariam mais dispostos a pagar resgates para restaurar rapidamente o acesso aos seus sistemas e garantir a continuidade do atendimento.

As instituições de saúde lidam com uma grande variedade de informações confidenciais, incluindo registros médicos, dados de seguros, resultados de exames laboratoriais e estudos de pesquisa. Esses dados não são apenas valiosos para os cibercriminosos devido à sua natureza sensível, mas também podem ser usados para cometer fraudes ou vendidos no mercado clandestino. A interrupção dos sistemas de saúde devido a ataques de ransomware pode ter consequências devastadoras, desde o cancelamento de cirurgias e tratamentos até a incapacidade de acessar informações essenciais em emergências.

Segundo um estudo apresentado pela Apura Cyber Intelligence, o Brasil é um dos países que está mais exposto a este tipo de ataque contra o setor de saúde. Apenas no primeiro semestre de 2023, em todo o mundo, 10,9% dos ciberataques foram direcionados para o setor; no Brasil a porcentagem foi ainda maior e já chegou a 12%.

Conclusões

Embora essa lista não seja tão extensa, conseguimos entender os pontos em comum entre os setores mais afetados por ataques de ransomware de alto nível. Além disso, apesar da diversidade dos grupos de ransomware e de seus alvos variados, uma análise aprofundada de suas vítimas revela padrões significativos que esclarecem suas motivações e métodos. Isso, como parte da defesa da cibersegurança corporativa, nos permite entender como fortalecer proativamente nossas defesas cibernéticas e reduzir a probabilidade de um ataque de ransomware. Por fim, esse entendimento nos capacita a nos defendermos com mais eficiência em nível corporativo e a reduzir os riscos associados a essas ameaças digitais.