Considere estes fatores antes de decidir pagar - ou não - o resgate exigido por cibercriminosos
Até pouco tempo atrás, o senso comum dizia que nunca se deve pagar o resgate exigido por cibercriminosos, já que a prática os incentiva a continuar cometendo fraudes. Apesar desses avisos, havia rumores de que cerca de 40% de todas as vítimas de ransomware acabavam dando dinheiro para os hackers mal intencionados.
Hoje, parece que muitas empresas impactadas estão pagando os resgates. Há evidências, inclusive, de que organizações que pretendem ajudar companhias a recuperar suas máquinas sem pagar o resgate, geralmente pagam a quantia exigida pelos criminosos e mantêm a chave de descriptografia em segredo.
Conversei com John Mullen, da Mullen Coughlin, que esteve envolvido em milhares de respostas a incidentes de segurança cibernética ao longo de sua carreira. Sua empresa lidou com mais de 1,2 mil casos de privacidade no ano passado, e a previsão é de que lidará com mais de 1,5 mil até o final de 2019.
Perguntei a Mullen se ele percebeu esse número de 40% subir recentemente. “Nunca foi de 40% ou 50%. Não sei de onde veio esse número. Sempre foi mais alto. A maioria das empresas paga o resgate quando se depara com a decisão. Mas ninguém sabe a porcentagem real de empresas que pagam os resgates.”
Mencionei que as apresentações policiais recomendam frequentemente não efetuar os pagamentos que os cibercriminosos pedem. “Quando você fala com policiais com experiência individual fora do trabalho, isso raramente é o que eles dizem”, revela Mullen. A maioria admite que muitas vezes é melhor para a vítima pagar o resgate. A realidade é que as pessoas estão pagando porque não têm outra boa opção.”
Um dos motivos pelos quais as pessoas pagam, de acordo com Mullen, é que os invasores estão melhorando ao maximizar os danos causados pelo ransomware. “Hoje, os atacantes estão acessando sistemas, executando reconhecimento e identificando pontos críticos para maximizar o impacto de seus ataques”, afirma o especialista. “Esses tipos de ataques tornam mais difícil do que nunca reparar ou recuperar. A porcentagem de pessoas que pagam o resgate é maior agora, porque os bandidos estão melhores.”
Estudos recentes confirmam as alegações de Mullen. Todos estão mostrando que a maioria das empresas gasta muito mais tempo, dinheiro e recursos (um relatório diz que as empresas médias gastam 23 vezes mais) se recuperando de ransomware do que se apenas pagassem o resgate desde o início.
Mas como determinar se você deve pagar um resgate após um ataque de ransomware? Confira quais aspectos considerar antes de decidir.
Qual é a política da sua organização para o pagamento de resgates? Se a sua empresa possui uma política inabalável por escrito contra o pagamento do resgate, você já tem a sua resposta. Se você sabe que, apesar de uma política escrita, a gerência sênior não tolera o gasto de 23 vezes mais dinheiro e recursos, provavelmente haverá uma exceção. Muitas empresas mantiveram seu compromisso de não pagar resgate e tiveram que suportar semanas de inatividade. Uma coisa é falar, e outra é viver a situação quando os negócios ficam inoperantes.
Eles acabaram de invadir algumas máquinas importantes ou atacaram o coração das suas operações? Você pode evitar mais danos? Você pode impedir que o bandido volte? Você precisa desligar seus pontos de entrada, alterar todas as senhas e fazer uma limpeza de rede em busca de malware e conexões de rede maliciosas? Você está confiante de que conhece a extensão do dano e o alcance?
Mesmo se você tiver um backup incrível, você já fez uma restauração de teste completa de todos os ativos impactados? Quanto tempo levará para restaurar? Como você pode ter certeza de que as restaurações não contêm backdoors que permitem a entrada dos criminosos? Quanto tempo você leva para fazer as restaurações e os testes de unidade necessários? Todos os seus backups mais recentes estão online e também podem ser acessados pelo cibercriminoso?
Atualmente, os hackers especialistas em ransomware estão atacando todas as restaurações, desde as cópias online mais recentes até as cópias offline supostamente “confiáveis”. Ouvi falar de criminosos alterando a chave de criptografia que a empresa está usando para proteger seus dados durante o processo de backup.
Toda empresa deve criptografar todos os backups de dados (novamente, é um requisito de conformidade de todos os regulamentos). Os cibercriminosos estão alterando as chaves de criptografia para esses backups sem que a vítima perceba. Logo antes do início do ataque, os hackers mudam as chaves novamente. Dessa forma, os backups de dados offline armazenados acabam irrecuperáveis.
Seu plano de continuidade de negócios lidará com o evento de ransomware caso você não pague o resgate? Caso contrário, isso significa mais tempo de inatividade e mais processos de dados alternativos. Quanto tempo de inatividade o seu plano pode suportar ou cobrir?
Se você optar por pagar ou não o resgate, você tem a gerência sênior e o suporte do conselho para apoiar a decisão? Eu já vi muitas cabeças de CISOs rolarem por causa de ataques de ransomware. As diretorias podem te amar enquanto tudo está funcionando bem, mas se você precisar dizer a eles que seus supostos excelentes backups e restaurações de dados não são viáveis e podem ficar inoperantes por dias ou semanas, eles ainda confiarão em você?
Quer você pague o resgate ou não, precisará de todos os colaboradores da equipe para ajudar na recuperação. Se você não pagar o resgate, precisará de muito mais ajuda. Empresas como a Mullen Coughlin podem ajudar a fornecer o time e a experiência necessárias, mas você tem dinheiro e tempo para isso?
Quando você paga o resgate, as gangues de ransomware geralmente fornecem as chaves que desbloqueiam seus sistemas. Caso contrário, ninguém pagaria o resgate.
Mas há casos extremos em que o pagamento do resgate não funciona. Ouvi falar de alguns casos em que o pagador obteve a chave de descriptografia, mas o processo de recuperação não funcionou ou exigiu muito mais ações, tornando quase inútil o pagamento do resgate.
Se você puder, fale com um especialista em ransomware para descobrir como foram as recuperações de outras pessoas que pagaram o resgate aos mesmos grupos criminosos. Os caçadores de ransomware mais experientes sabem quando pagar ou não o resgate. Obtenha a opinião de um especialista sobre o problema exato que você está enfrentando.
Se sua operadora de seguros de segurança cibernética cobre o pagamento do resgate, quem decide o que fazer? Como visto em diversas situações, algumas apólices de de segurança cibernética não cobrem casos de engenharia social (o tipo mais popular) ou oferecem um pagamento muito reduzido pelos danos.
Não anuncie publicamente que você tem seguro de segurança cibernética. Os criminosos só usarão essa informação como ponto de negociação. Se a sua apólice de seguro estiver online, transfira-a para um lugar offline seguro e rapidamente acessível. Não é preciso deixar que os bandidos a encontrem antes de iniciarem o ataque.
Pagar um pedido de resgate é geralmente uma decisão comercial simples. Muitas empresas não estão preparadas para enfrentar os ataques, por isso, pagar os valores exigidos pelos cribercriminosos parece ser a saída mais simples e rápida para a maioria. Escolha o melhor caminho para a sua empresa.
