A Test Level Analysis (CPR), área de Risk Intelligence da Test Level Software program Applied sciences , fornecedor de soluções de cibersegurança a nível world, partilhou novas conclusões sobre a economia do ransomware depois de analisar a informação do grupo de ransomware Conti e outros conjuntos de dados relacionados com diferentes vítimas de ransomware. A quantia paga de resgate é apenas uma pequena parte do custo efectivo de recuperação de um ataque de ransomware para a vítima – a CPR estima que o custo whole seja, na verdade, 7 vezes superior. A CPR analisou ainda a incidência de ataques de ransomware por país entre 2021 e 2022, concluindo que em Portugal, se registou um aumento de 13%.
A CPR analisou 2 conjuntos de dados de forma a obter novas perspectivas sobre o ecossistema do ransomware, estimando que o custo colateral de um ataque de ransomware para as vítimas é 7 vezes superior ao valor que é muitas vezes pago pelas mesmas. O primeiro conjunto de dados foi a base de dados da Kovrr sobre incidentes cibernéticos, que contém informação actualizada sobre ciberataques e o seu respectivo impacto financeiro. O segundo foi a informação do grupo de ransomware Conti. Outra das conclusões a ressaltar prende-se com a forma como é definida a quantia a pedir: de acordo com a investigação, esta depende da receita anual da vítima, variando entre 0.7% e 5% da mesma. A CPR alerta ainda para a diminuição significativa da duração média deste tipo de ataques – de 15 dias em 2021 para 9 em 2022. O objectivo da investigação foi explorar ambos os lados de um ataque deste tipo: o das vítimas e o dos atacantes.
Principais conclusões
- Custo colateral. O resgate pago é uma pequena parte do custo de um ataque de ransomware para a vítima. A CPR estima que o custo whole de um ataque deste tipo para a vítima seja 7 vezes superior do que o que é pago aos cibercriminosos, incluindo custos de resposta e restauração, taxas legais e custos de monitorização.
- Quantia pedida. A quantia pedida para resgate de informação depende da receita anual da vítima e varia entre 0,7% e 5% das receitas anuais. Quanto maior for a receita anual da vítima, menor será a percentagem da receita que será exigida, uma vez que essa percentagem representa um valor numérico superior em dólares.
- Duração do ataque. A duração de um ataque de ransomware tem diminuído significativamente em 2021, de 15 dias para 9 dias.
- Regras-base de negociação. Os grupos de ransomware têm regras claramente definidas para uma negociação bem-sucedida com as vítimas, influenciando o processo de negociação e respectivas dinâmicas:
- Estimativa exacta da situação financeira da vítima
- Qualidade dos dados roubados da vítima
- A reputação do grupo de ransomware
- Existência de insegurança cibernética
- A abordagem a interesses dos negociantes da vítima
Ransomware em números
| País/Região | 1 em cada X organizações por semana em 2021 | 1 em cada X organizações por semana em 2022 | Variação entre o 1º Trimestre de 2022 e o 1º Trimestre de 2021 |
| Portugal | 59 | 52 | 13% |
| Europa | 80 | 68 | 16% |
| Mundo | 66 | 53 | 24% |
Significa isto que, em Portugal, no primeiro trimestre de 2022, em média, semanalmente, 1 em cada 52 organizações foi impactada por uma tentativa de ataque de ransomware. Comparando com o período homólogo do ano anterior, registou-se um aumento de 13% do número de tentativas.
Na Europa, o cenário também foi de crescimento, com o 1 em cada 68 organizações a sofrer, por semana, uma tentativa de ataque de ransomware – um aumento de 16% face o ano anterior. Alargando ainda mais o ponto de vista, a CPR concluiu que, no mundo, o aumento entre o primeiro trimestre de 2021 e de 2022 foi de 24%.
