Os principais resultados da sexta edição do relatório anual da Sophos mostram que 40% das vítimas de ransomware foram atacadas através da exploração de vulnerabilidades e que quase 50% das empresas pagaram o resgate para recuperar os seus dados. Esta é a segunda taxa mais elevada de pagamento de resgates nos seis anos em que este estudo tem sido realizado.
No entanto, mais de metade destas organizações pagou menos do que o pedido inicial (53%), sendo que, na maioria das vezes, isto se deveu a uma negociação com os cibercriminosos (71%). O ‘State of Ransomware’, feito com base em inquéritos a líderes de TI e de cibersegurança de dezassete países, mostra ainda que o valor médio dos pedidos de resgate caiu um terço entre 2024 e 2025; e que o pagamento médio dos resgates, que desceu 50% no mesmo período, foi de um milhão de dólares (cerca de 850 mil euros).
Chester Wisniewski, CISO de campo global da Sophos, explica que «muitas vulnerabilidades recentes de VPN, firewall e serviços de acesso remoto foram exploradas no prazo de 48 horas após a sua divulgação, o que significa que o tempo é extremamente importante». Assim, este responsável considera que «todos os dispositivos com acesso à Internet devem ser corrigidos o mais rapidamente possível», algo que nem sempre acontece: «Muitos dispositivos descobertos durante o nosso trabalho de resposta a incidentes passaram seis meses ou mais sem uma actualização».
Recurso a backups diminuiu
Apenas 54% das empresas recorreu a backups para restaurar os seus dados, a percentagem mais baixa em seis anos; Chester Wisniewski esclarece que isto se pode dever ao facto de os criminosos terem feito um «esforço concertado para desactivar, eliminar e corromper as cópias de segurança durante o seu processo de intrusão». O responsável avança que a Sophos «não sabe por que é que os inquiridos tiveram dificuldades», mas o relatório do ano passado revelou que os criminosos tentaram comprometer os backups de «94% das organizações atingidas por ransomware e, em 57% das vezes, foram bem-sucedidos». O pouco uso de cópias de segurança foi, também, segundo o responsável, em simultâneo, a conclusão mais «surpreendente e decepcionante» deste estudo.
Chester Wisniewski sublinha, no entanto, que estão a existir progressos: «Os custos dos incidentes diminuíram, as organizações estão a recuperar de forma mais rápida e, mais importante ainda, aquelas que tinham criminosos de ransomware na sua rede conseguiram parar os ataques antes de a encriptação ocorrer, pelo menos em 44% dos incidentes. Creio que isto é um testemunho da crescente adopção de ferramentas de detecção e resposta estendida (XDR), de segurança de endpoints e de serviços de detecção e resposta geridos (MDR), que tornam mais rápida a descoberta de uma intrusão, evitando situações com custos muito elevados em todos os sentidos, como o roubo de dados e a encriptação dos mesmos».
O CISO de campo global alerta ainda que é «preocupante ver o impacto emocional que os ataques de ransomware estão a ter nas equipas de TI e de segurança, além de que os «elevados níveis de ansiedade, stress, ausências não planeadas e culpa não são saudáveis para os profissionais». Assim, Chester Wisniewski deixa um conselho: «Temos de investir mais na formação e em capacitar as equipas (com mais pessoas e/ou mais recursos) para ajudar a reduzir o seu stress e para que tenham um ambiente de trabalho mais produtivo. O apoio à saúde mental tem sido frequentemente negligenciado ou ignorado nos domínios técnicos e da cibersegurança. Esta é uma situação que tem de mudar».
