O estudo da Sophos demonstra que a confiança dos gestores de IT e a abordagem ao combate a ciberataques é drasticamente diferente nas organizações que sofreram um ataque de ransomware
A Sophos realizou um estudo global, o “Cybersecurity: The Human Challenge”, que revela que as organizações nunca mais são as mesmas após um ataque de ransomware. A confiança dos gestores de IT e a sua abordagem ao combate a ciberataques diferem significativamente, dependendo de se a sua organização foi, ou não, atacada por ransomware. Por exemplo, os gestores de IT das organizações atingidas por ransomware têm uma probabilidade três vezes maior de se sentirem “significativamente para trás” no que diz respeito à compreensão das ciberameaças, em comparação com os seus pares de organizações que não foram afetadas (17% contra 6%). Além disso, mais de um terço (35%) das vítimas de ransomware afirmou que recrutar e reter profissionais qualificados de segurança de IT é o maior desafio que enfrentam em termos de cibersegurança, em comparação com 19% daqueles que não foram atacados. Chester Wiesniewski, Principal Research Scientist da Sophos, acredita que “a diferença na prioridade atribuída aos recursos pode indicar que as vítimas de ransomware têm, no geral, mais incidentes com os quais lidar. No entanto, também pode indicar que estão mais alerta para a natureza complexa e multifásica dos ataques avançados e, dessa forma, dedicam mais recursos a detetar e responder aos sinais que indicam que um ataque está iminente”. O estudo concluiu ainda que as vítimas de ransomware despendem menos tempo na prevenção de ameaças (42%) e mais tempo na resposta (27%), em comparação com as organizações que não sofreram ataques (49% e 22%, respetivamente). O facto de os atacantes de ransomware continuarem a evoluir as suas táticas, técnicas e procedimentos contribui para a pressão sentida pelas equipas de segurança de IT. O ataque de ransomware Ryuk O artigo “Inside a new Ryuk Ransomware attack” da SophosLabs Uncut desconstrói um ataque recente do ransomware Ryuk. Os técnicos de resposta a incidentes da Sophos descobriram que os hackers utilizaram versões atualizadas de ferramentas legítimas e amplamente disponíveis para atacar uma das suas redes-alvo e implementar ransomware. De forma pouco habitual, o ataque evoluiu a grande velocidade – após três horas e meia de um colaborador ter aberto o ficheiro em anexo de um email de phishing malicioso, os atacantes já estavam a conduzir ativamente o reconhecimento da rede. Bastaram 24 horas para os cibercriminosos terem acesso a um controlador de domínio e se prepararem para implementar o Ryuk. “A nossa investigação sobre este recente ataque de ransomware Ryuk destaca aquilo que os profissionais de segurança de IT têm de enfrentar. As equipas necessitam de estar em alerta total 24 horas por dia, sete dias por semana, e ter total domínio sobre as mais recentes informações de ameaças, ferramentas e comportamentos dos atacantes”, acresecentou Wisniewski. “As conclusões do estudo ilustram claramente o impacto destas exigências quase impossíveis. Entre outras coisas, as organizações atacadas por ransomware ficam com a confiança seriamente debilitada no que toca à sua própria sensibilização para os riscos de cibersegurança. No entanto, a sua experiência com ransomware também parece ter-lhes oferecido um maior reconhecimento da importância dos profissionais de cibersegurança qualificados, bem como uma noção da urgência que há em introduzir threat hunting liderado por humanos na sua estratégia, de forma a melhor compreender e identificar os mais recentes comportamentos dos atacantes. Quaisquer que sejam as razões, está claro que, no que diz respeito à segurança, uma organização nunca mais é a mesma após um ataque de ransomware”. |