Após a publicação do relatório Veeam 2022 Ransomware Trends Report, Danny Allan, CTO da Veeam, nos diz que pagar cibercriminosos para restaurar dados não é uma estratégia de proteção ou recuperação de dados
As empresas estão perdendo a batalha quando se trata de se defender contra ataques de ransomware, de acordo com o Veeam 2022 Ransomware Trends Report. Isso revelou que 72% das organizações tiveram ataques parciais ou completos em seus repositórios de backup, impactando drasticamente a capacidade de recuperar dados sem pagar o resgate.
A Veeam Software, líder em soluções de backup, recuperação e gerenciamento de dados que oferecem proteção de dados moderna, descobriu que 80% dos ataques bem-sucedidos visavam vulnerabilidades conhecidas – reforçando a importância de aplicar patches e atualizar softwares. Quase todos os invasores tentaram destruir repositórios de backup para desativar a capacidade da vítima de se recuperar sem pagar o resgate.
“O ransomware democratizou o roubo de dados e exige uma colaboração colaborativa de organizações em todos os setores para maximizar sua capacidade de remediar e recuperar sem pagar o resgate”, disse Danny Allan, CTO da Veeam.
“Pagar a cibercriminosos para restaurar dados não é uma estratégia de proteção de dados. Não há garantia de recuperação de dados, os riscos de danos à reputação e perda de confiança do cliente são altos e, o mais importante, isso alimenta uma profecia auto-realizável que recompensa a atividade criminosa”.
O Veeam 2022 Ransomware Trends Report revela os resultados de uma empresa de pesquisa independente que pesquisou mil líderes de TI cujas organizações foram atacadas com sucesso por ransomware pelo menos uma vez nos últimos 12 meses, tornando-o um dos maiores relatórios do gênero.
O primeiro estudo desse tipo examina as principais lições desses incidentes, seu impacto nos ambientes de TI e as etapas tomadas para implementar estratégias modernas de proteção de dados que garantem a continuidade dos negócios. O projeto pesquisou especificamente quatro personas de TI (CISOs, profissionais de segurança, administradores de backup e operações de TI) para entender o alinhamento da preparação cibernética nas organizações.
Pagar o resgate não é uma estratégia de recuperação
Das organizações pesquisadas, a maioria (76%) das vítimas cibernéticas pagou o resgate para encerrar um ataque e recuperar dados. Infelizmente, enquanto 52% pagaram o resgate e conseguiram recuperar os dados, 24% pagaram o resgate, mas ainda não conseguiram recuperar os dados – resultando em uma chance em três de que pagar o resgate ainda não levasse a nenhum dado.
É notável que 19% das organizações não pagaram o resgate porque conseguiram recuperar seus próprios dados. É isso que os 81% restantes das vítimas cibernéticas devem aspirar – recuperar dados sem pagar o resgate.
“Uma das marcas de uma forte estratégia de Proteção de Dados Moderna é o compromisso com uma política clara de que a organização nunca pagará o resgate, mas fará tudo ao seu alcance para prevenir, remediar e se recuperar de ataques”, acrescentou Allan.
“Apesar da ameaça generalizada e inevitável do ransomware, a narrativa de que as empresas são impotentes diante disso não é precisa. Educar os funcionários e garantir que eles pratiquem uma higiene digital impecável; realizar testes rigorosos regularmente de suas soluções e protocolos de proteção de dados; e criar planos detalhados de continuidade de negócios que preparem as principais partes interessadas para os piores cenários”.
A prevenção requer diligência tanto da TI quanto dos usuários
A “superfície de ataque” para os criminosos é diversa. Na maioria das vezes, os vilões cibernéticos obtiveram primeiro acesso aos ambientes de produção por meio de usuários errantes clicando em links maliciosos, visitando sites não seguros ou interagindo com e-mails de phishing – expondo novamente a natureza evitável de muitos incidentes. Depois de obter acesso ao ambiente com sucesso, houve muito pouca diferença nas taxas de infecção entre servidores de data center, plataformas de escritório remoto e servidores hospedados em nuvem.
Na maioria dos casos, os invasores aproveitaram vulnerabilidades conhecidas, incluindo sistemas operacionais e hipervisores comuns, bem como plataformas NAS e servidores de banco de dados, explorando qualquer software desatualizado ou não corrigido que possam encontrar.
É notável que taxas de infecção significativamente mais altas foram relatadas por profissionais de segurança e administradores de backup, em comparação com operações de TI ou CISOs, o que implica que “aqueles mais próximos do problema veem ainda mais os problemas”.
A correção começa com imutabilidade
Os entrevistados da pesquisa confirmaram que 94% dos invasores tentaram destruir repositórios de backup e em 72% dos casos essa estratégia foi pelo menos parcialmente bem-sucedida. Essa remoção da linha de vida de recuperação de uma organização é uma estratégia de ataque popular, pois aumenta a probabilidade de as vítimas não terem outra escolha a não ser pagar o resgate.
A única maneira de se proteger contra esse cenário é ter pelo menos um nível imutável ou air-gapped dentro da estrutura de proteção de dados – que 95% dos entrevistados afirmaram ter agora. Na verdade, muitas organizações relataram ter algum nível de imutabilidade ou mídia air-gap em mais de uma camada de sua estratégia de disco e nuvem.
Outras descobertas importantes do Veeam 2022 Ransomware Trends Report incluem:
- A orquestração é importante: para garantir proativamente a capacidade de recuperação de seus sistemas, uma em cada seis (16%) equipes de TI automatiza a validação e a capacidade de recuperação de seus backups para garantir que seus servidores sejam restauráveis. Em seguida, durante a correção de um ataque de ransomware, 46% dos entrevistados usam uma “sandbox” isolada ou área de teste/teste para garantir que seus dados restaurados estejam limpos antes de reintroduzir os sistemas em produção.
- O alinhamento da organização deve unificar: 81% acreditam que as estratégias cibernéticas e de continuidade de negócios/recuperação de desastres de suas organizações estão alinhadas. No entanto, 52% dos entrevistados acreditam que as interações entre essas equipes precisam ser aprimoradas.
- Diversificar os repositórios é a chave: quase todas (95%) as organizações têm pelo menos um nível de proteção de dados imutável ou air-gapped, 74% usam repositórios em nuvem que oferecem imutabilidade; 67% usam repositórios de disco locais com imutabilidade ou bloqueio; e 22% usam fita com air-gap. Imutáveis ou não, as organizações observaram que, além dos repositórios de disco, 45% dos dados de produção ainda são armazenados em fita e 62% vão para a nuvem em algum momento do ciclo de vida dos dados.
