"Todo mundo tem um plano até levar um soco na cara." Esta conhecida frase de Mike Tyson poderia ser a descrição exata da realidade das empresas diante de um ataque de ransomware. Nos últimos anos, esse tipo de ameaça tem mostrado sua capacidade de desestabilizar até mesmo as organizações mais robustas em questão de horas. E, infelizmente, é seguro afirmar que continuará pegando muitas empresas de surpresa, desafiando sua resiliência cibernética e expondo a fragilidade de seus planos de contingência de formas que poucas outras ameaças conseguem alcançar.

Não faltam dados e incidentes reais para comprovar essa afirmação. O Relatório de Investigações de Vazamentos de Dados da Verizon 2024 revela que um terço de todos os vazamentos de dados envolvem ransomware ou outras técnicas de extorsão. O relatório destaca que 92% dos setores foram impactados por essa ameaça, evidenciando o quão disseminado o ransomware se tornou em diversas indústrias.

Se isso soa preocupante, é porque realmente é. O risco é ainda maior porque o ransomware pode vir acompanhado de um ataque à cadeia de suprimentos – como ocorreu no incidente da Kaseya em 2021, quando uma vulnerabilidade na plataforma de gerenciamento de TI da empresa foi explorada para ampliar drasticamente o alcance do ransomware, afetando um número incalculável de organizações ao redor do mundo.

O alto custo

Quando surge a notícia de um ataque de ransomware, as manchetes geralmente se concentram nos dramáticos pedidos de resgate e nos dilemas éticos e legais sobre o pagamento. No entanto, o que muitas vezes não é capturado é o trauma organizacional e humano vivido pelas vítimas, especialmente quando o incidente envolve a exfiltração de dados e a ameaça de divulgação das informações roubadas.

Quando os sistemas ficam fora do ar, os negócios não simplesmente pausam - eles perdem dinheiro rapidamente, enquanto novas oportunidades desaparecem e a reputação da marca é prejudicada. Os prejuízos se agravam exponencialmente à medida que os esforços frenéticos de recuperação se estendem de horas para dias, semanas e, possivelmente, até meses. A premissa brutalmente simples do ransomware – criptografar dados críticos e exigir um pagamento para liberá-los – esconde, na verdade, uma cadeia complexa de impactos operacionais, financeiros e reputacionais que se desenrolam após o ataque.

Mais uma vez, há dados abundantes que demonstram o alto custo de um ataque bem-sucedido de ransomware. O relatório Cost of a Data Breach 2024, da IBM, por exemplo, estima que o custo médio de recuperação de um ataque desse tipo chegue a quase US$ 5 milhões. O ransomware Scarab também tem como objetivo dificultar ainda mais os esforços de recuperação.

Jogando uma tábua de salvação

As organizações atingidas por ransomware geralmente contam com três rotas de escape: restaurar a partir de backups, receber uma ferramenta de descriptografia de pesquisadores de segurança (como aqueles envolvidos na iniciativa No More Ransom, da qual a ESET é membro) ou pagar o resgate em troca de um decodificador. Mas e se nenhuma dessas opções for viável?

Primeiro, os cibercriminosos aumentam a pressão sobre as vítimas ao atacar seus sistemas de backup, corrompendo ou criptografando esses dados antes de implantar o ransomware nos ambientes de produção. Em segundo lugar, as ferramentas de descriptografia desenvolvidas por pesquisadores devem ser encaradas como um último recurso, pois frequentemente não atendem à urgência da recuperação necessária para garantir a continuidade dos negócios.

E sobre desistir e pagar o resgate? Além dos possíveis riscos legais e regulatórios, o pagamento não garante absolutamente nada e, muitas vezes, apenas agrava a situação. A Colonial Pipeline aprendeu isso da pior maneira quando as ferramentas de descriptografia fornecidas em troca de um pagamento de resgate de US$ 4,4 milhões eram tão deficientes que a restauração a partir dos backups foi a única opção viável. (Vale notar que o Departamento de Justiça dos EUA recuperou a maior parte do resgate posteriormente.)

O ESET Ransomware Remediation oferece uma abordagem inovadora para esse dilema, combinando prevenção e remediação de forma eficaz. Ele cria backups seletivos de arquivos que permanecem inacessíveis para os cibercriminosos durante um processo que é ativado assim que o risco se torna iminente, ou seja, quando uma tentativa de ransomware é detectada. Como os criminosos frequentemente visam também os backups de dados, essa abordagem minimiza o risco de depender inadvertidamente de backups comprometidos.

Preparando-se para o impacto

O ransomware é uma verdadeira ameaça capaz de desestruturar as operações empresariais de forma rápida e alarmante. No entanto, organizações com capacidades comprovadas de prevenção e recuperação não apenas sobreviverão ao ransomware e a outras ciberameaças – sua habilidade em se proteger contra esses ataques pode se tornar sua maior vantagem competitiva.

No cenário digital em constante evolução, a única certeza é a mudança, e a resiliência exige a capacidade de antecipar o inesperado. Planeje o imprevisto como se o futuro do seu negócio dependesse disso – porque, de fato, depende.