A metade das vítimas do ransomware provavelmente será atingida novamente à medida que os atores da ameaça mudam suas estratégias direcionando servidores e acelerando a propagação do ransomware.
A metade das vítimas do ransomware foi atingida com ataques várias vezes. A maioria (82%) das organizações acredita que os ataques do ransomware estão crescendo
Essas descobertas provêm da empresa de segurança Druva, que pesquisou 832 profissionais de TI em todo o mundo para entender o estado atual e futuro das ameaças por ransomware. O relatório Annual Ransomware Report mostra que esta ameaça está evoluindo mais rapidamente do que as empresas podem manter-se.
Veja ao final o infográfico da pesquisa.
Vale a pena notar que esses dados foram consistentes em empresas de todos os tamanhos e todos estão lutando com os mesmos problemas. A metade das organizações pesquisadas tinha mais de 1.000 funcionários, 31% tinham 1.000 a 10.000 funcionários e 19% tinham mais de 10.000 funcionários.
É cada vez mais difícil se preparar para ataques, pois os atores da ameaça adotam táticas mais avançadas. O surto global de ransomware desta semana, o segundo de sua escala nos últimos dois meses, provou ser mais profissional e mais difícil de parar do que o ataque WannaCry em maio.
“O que vemos é que muitas empresas estão presas nos headlights“, diz Dave Packer, Druva, vice-presidente de marketing corporativo e de produtos, que liderou a pesquisa para o relatório da Druva. “Sua capacidade de alcançar e construir uma infraestrutura de proteção adequada está sendo comprometida por rápidas modificações nos ataques de ransomware“.
É crítico para as equipes de TI detectarem possíveis ataques rapidamente, mas os pesquisadores descobriram em cerca de 40% das vezes, mais de duas horas passam antes de TI tomar conhecimento do problema.
Às vezes, isso ocorre porque o ransomware foi entregue através de erros de um usuário final, que pode estar relutante em notificar TI. Outros malwares funcionam baseados no tempo, o que significa que se espalha entre dispositivos sem criptografar dados ou causar outros problemas para não atrair a atenção, para depois de algum tempo se auto-ativarem.
“Este último tipo deixa latente por duas a três semanas“, diz Packer, e nesse momento coleta informações sobre como o sistema funciona. Ele ataca depois de ter feito pequenos ajustes do sistema para garantir que ele tenha o maior impacto, e as empresas não sabem quando a infecção inicial apareceu.
A velocidade e a propagação do ransomware
Uma vez que ele encontra um ponto de entrada, o ransomware se move rapidamente. Uma máquina infectada pode sincronizar para um servidor de arquivos compartilhado ou aplicativo de nuvem, levando a disseminação de malware a todos os dispositivos conectados a esse compartilhamento. Os entrevistados disseram que 70% dos ataques de ransomware afetaram vários dispositivos.
Packer diz que vale a pena observar que 33% dos ataques de ransomware atingem servidores corporativos, que estão se tornando alvos populares à medida que se tornam mais críticos para as operações. Os especialistas antecipam que os servidores continuarão a ser alvo se não forem corrigidos regularmente.
A nuvem é suscetível a ransomware por causa da forma como está arquitetada
A nuvem é suscetível a ransomware, explica ele, por causa da forma como está arquitetada. As organizações são mais vulneráveis ao ransomware quando tomam seus modelos on-premise e movem-nas para a nuvem. Os modelos de nuvem nativa são menos propensos a experimentar ataques de ransomware.
“Nas notícias, não vemos muito no lado do servidor mas sim no endpoint, mas isso é um problema a ser considerado“, continua Packer. Isso cria uma bagunça para as empresas, diz ele, porque a recuperação deve ser bem pensada; Não é tão simples como recuperar um dispositivo de usuário final.
O que pode ser feito?
A maioria (82%) dos entrevistados confia em backup de dados para se recuperar dos ataques do ransomware e recuperar seus negócios de volta e funcionando. Isso é mais confiável do que pagar resgates, mas apenas 5% dos inquiridos relatam fazer regularmente os backups. Embora realizar backups seja uma boa prática, é necessário observar também que muitos não testam a integridade dos backups, o que pode ser ainda mais perigoso.
“De nossa perspectiva, as empresas devem começar a olhar para a nuvem com cópias secundárias de dados“, diz Packer. Não há “nenhuma solução de fácil e rápida” para ransomware. Embora a detecção de malware seja útil e resolva uma grande parte do problema, muitos sistemas não estão preparados para as mudanças rápidas que estão ocorrendo nos ataques de ransomware.
Uma tecnologia que desponta e que pode ser mais explorada no futuro como uma solução de proteção avançada contra os novos malwares, são as soluções de Endpoint Detection and Response (EDR), que exploraremos em Webinar aqui no blog nas próximas semanas, acompanhem e não percam!
fonte: DarkReading & Druva Annual Ransomware Report por MindSec 30/06/2017
Deixe sua opinião!