Atacantes têm Mais Probabilidade de Mirar em Indústrias de Infraestrutura Crítica e, Quando o Fazem, Causam Mais Disrupção e Exigem Resgates Mais Altos, com o Pagamento Médio Ultrapassando $2.5 Milhões

Quando o ransomware atacou a cidade de Dallas, Texas, no ano passado, derrubou os serviços da cidade, a capacidade da empresa de água municipal de faturar e ler os medidores, e os serviços de emergência. A cidade precisou de mais de um mês para colocar todos os seus sistemas de volta online.

Dallas não está sozinha. Em 2023, dois terços dos operadores de infraestrutura crítica (67%) nos setores de petróleo, energia e serviços públicos sofreram um ataque de ransomware, em comparação com 59% de todas as indústrias, segundo uma pesquisa da Sophos. Além disso, os ataques a esses setores de infraestrutura crítica afetaram em média 62% dos sistemas, muito mais do que os 49% de sistemas impactados durante um ataque de ransomware em todas as indústrias.

De fato, os grupos coletivamente vinculam a saúde como o segundo setor mais impactado, com apenas agências governamentais federais impactadas com mais frequência, diz Chester Wisniewski, CTO de campo global da Sophos.

“Este setor precisa reconhecer isso como um risco sério e se posicionar para não ser tão vulnerável a demandas de resgate,” diz ele. “Este não é um trabalho impossível. No final das contas, trata-se de acertar o básico, assim como nos anos anteriores.”

Os setores de infraestrutura crítica têm sido favoritos recorrentes de gangues de ransomware, remontando ao incidente do Colonial Pipeline e até mesmo antes. Os casos de ransomware no setor industrial quase dobraram entre 2022 e 2023 para 1.484 ataques, de 804 incidentes, de acordo com dados do NCC Group, uma consultoria de segurança cibernética.

O setor industrial – no qual as empresas de infraestrutura crítica estão inseridas – gerencia serviços essenciais, e as interrupções podem ter consequências graves, levando a pagamentos de resgate rápidos, diz Ian Usher, diretor associado de operações de inteligência de ameaças e inovação de serviços do NCC Group.

“As organizações que prestam um serviço público ou apoiam infraestruturas críticas são mais atraentes para ataques de ransomware porque enfrentam pressão externa para restaurar as operações,” diz ele.

A maioria dos ataques de ransomware contra empresas nos setores de infraestrutura crítica de petróleo, energia e serviços públicos teve sucesso através da exploração de vulnerabilidades de software, o que representou 49% dos ataques bem-sucedidos em comparação com 35% no ano anterior, de acordo com o relatório da Sophos. Credenciais comprometidas (27%) e emails maliciosos (14%) completaram os três principais vetores.

Uma medida crítica é com que frequência um ataque resulta em dados sendo criptografados. Em 2023, oito em cada 10 ataques resultaram em dados criptografados, o mesmo do ano anterior, mas significativamente mais alto do que nos dois anos anteriores, diz Wisniewski da Sophos.

“Isso é preocupante,” diz ele. “Esses números deveriam estar melhorando com a adoção de resposta e detecção ampliadas e de resposta gerenciada, que estão se tornando cada vez mais comuns.”

O impacto dos ataques de ransomware é frequentemente brutal para as empresas. O respondente médio na pesquisa da Sophos precisou de mais de um mês para se recuperar. Pela primeira vez, mais empresas pagaram o resgate (61%) do que utilizaram backups para a recuperação, mesmo enquanto o pagamento mediano saltou para US$ 2,54 milhões. O custo médio de recuperação de um incidente ultrapassou US$ 3 milhões em 2023, igualando o ano anterior. (Observação, embora o relatório da Sophos seja rotulado como 2024, os dados são de 2023, então o Dark Reading usa o ano anterior.)

As organizações que não adotam tecnologias simples, como a autenticação multifator (MFA) e não acompanham as atualizações de software, provavelmente se tornarão alvos não apenas uma vez, mas várias vezes, diz Wisniewski da Sophos.

Embora a alta taxa de pagamento de resgates realmente se destacasse este ano, as organizações não deveriam mais considerar pagar cibercriminosos como uma solução, diz ele.

“Não há uma maneira de comprar sua saída de situações como um ataque de ransomware,” diz Wisniewski. “Em casos raros, o pagamento pode acelerar a recuperação, mas é a exceção, não a regra… Você quase garante que não receberá todos os seus arquivos de volta, e ainda precisará reconstruir… seus sistemas.”

O governo precisa ajudar a estabelecer padrões de cibersegurança para os setores de infraestrutura crítica, diz Usher da NCC Group. Atualmente, de acordo com a Lei de Relato de Incidentes Cibernéticos para Infraestruturas Críticas aprovada em 2022, os operadores de infraestrutura crítica são obrigados a relatar eventos cibernéticos significativos dentro de 72 horas e divulgar pagamentos de resgates dentro de 24 horas, diz ele.

“O governo pode… garantir padrões consistentes de cibersegurança em toda a infraestrutura crítica,” diz ele. “A falta contínua de alinhamento só servirá para criar uma Web de regras cada vez mais complexa. Isso provavelmente será contraproducente para melhorar a resiliência cibernética e contribuirá para o problema da conformidade com cibersegurança se tornando um exercício de ‘marcação de caixa’.”