Ciberataques de ransomware fizeram quase o dobro das vítimas em 2023

O ransomware é cada vez mais a principal ameaça à cibersegurança das empresas. 2023 voltou a ser um ano pródigo neste tipo de ciberataques, em que os piratas informáticos invadem os sistemas de um negócio, bloqueiam ou roubam a informação, e exigem às vítimas o pagamento de um resgate para que o acesso seja restabelecido, ou os dados não sejam expostos na internet.

“Em 2023, um total de 68 grupos ativos de ransomware reportaram ter invadido sistemas e extorquido publicamente mais de 5.000 vítimas. Isto representa um aumento substancial ao longo dos últimos anos”, lê-se no Relatório Anual de Segurança 2024 da Check Point Software, uma empresa de cibersegurança de origem israelita também presente em Portugal.

“Os incidentes de ransomware só se intensificaram ao longo do ano. O segundo semestre registou mais de 2.800 vítimas, comparadas com as 2.200 da primeira metade do ano”, acrescenta ainda a Check Point. Para comparação, no ano completo de 2022 a empresa tinha registado 2.600 ataques deste tipo, pelo que declara, neste relatório, que o ransomware é o “risco número um” para a cibersegurança das empresas.

O número relativo a 2023 foi obtido pela Check Point a partir de 200 shame sites, o nome que a companhia sedeada em Tel Aviv da às páginas online onde os atacantes expõem as vítimas e as pressionam a pagarem os resgates, geralmente em criptomoedas como a bitcoin. Porém, o número real de ataques poderá ser muito superior, pois muitos casos de organizações atacadas nunca chegam a ser revelados.

A maioria deste tipo de ataques publicamente conhecidos afetou empresas do setor industrial, seguidas das empresas de comércio a retalho ou grossista. As consultoras encerraram o pódio das principais vítimas de ransomware em 2023 (como mostra o gráfico seguinte).

A título de exemplo, em janeiro do ano passado, o ECO noticiou em primeira mão que um grupo de hackers dizia ter publicado toda a informação alegadamente roubada ao Porto de Lisboa num ciberataque que tinha ocorrido um mês antes, em dezembro de 2022. Na altura, a empresa admitiu ter “conhecimento da existência de dados na dark web e de um pedido de resgate”, mas não quis comentar quando confrontada com a indicação de que os burlões tinham cumprido o prometido – expor os documentos se o resgate não fosse saldado.

Quem foram as principais vítimas do ransomware?

O trabalho da Check Point – divulgado esta quarta-feira por ocasião da CPX 2024, a conferência anual de cibersegurança da empresa cuja edição para o mercado EMEA decorre esta semana em Viena, na Áustria – pinta um cenário preocupante, em que os atacantes adquirem vulnerabilidades desconhecidas (conhecidas tecnicamente por zero-day) no mercado negro que podem custar “alguns milhares de dólares” ou chegar “aos 2,5 milhões de dólares”. “As estimativas dos pagamentos reais de resgates podem ser difíceis, mas é seguro assumir que, pelo menos em alguns casos, mais do que cobrem” esse custo inicial.

Em Portugal, o flagelo do ransomware ganhou maior expressão mediática em janeiro de 2022, quando um grupo de hackers autodenominado Lapsus$ conseguiu invadir e bloquear os sistemas informáticos do grupo Impresa, dono da SIC, tornando inacessíveis os sites e arquivos da estação televisiva, mas também do jornal Expresso. Só que o problema dos ciberataques ganharia ainda mais atenção poucas semanas depois, quando um ciberataque derrubou as redes da Vodafone Portugal, impactando, direta e indiretamente, muitos milhões de portugueses.

Apesar do aumento do risco de ciberataque, o relatório da Check Point mostra algumas empresas estão mais expostas do que outras: “Os setores da educação, governo [setor público e militar] e saúde continuam a ser os principais alvos de ciberataques”, avança também a Check Point, que estima que, a nível mundial, as instituições de ensino sejam alvo de 2.046 tentativas de ataque por semana, em média. Ainda assim, é uma redução de 12% face a 2022.

No setor público, o número de tentativas semanais também desceu no ano passado face ao ano anterior, na ordem dos 4%. Mas subiu 3% na saúde, 8% nas comunicações e 22% no comércio de retalho ou grossista, que, no entanto, ocupa apenas a oitava posição entre os setores mais expostos (ver gráfico seguinte).

Os setores mais expostos a ciberataques

Outra conclusão que se pode retirar do relatório anual da Check Point é que todo o cuidado é pouco quando se usa o email. Nos dias de hoje, as comunicações por esta via são ubíquas, mas os atacantes também sabem disso. Por isso, se em 2018 o email era o protocolo de distribuição usado em apenas 33% dos ataques, em comparação com os 67% da web, em 2023 o cenário foi o inverso: 88% dos ataques usaram o email como vetor inicial, contra apenas 12% do protocolo web, de acordo com dados da empresa israelita.

Analisando os dados mais detalhadamente, conclui-se que os ficheiros HTML, seguidos dos PDF, foram o tipo de ficheiro mais usado pelos atacantes para propagar software malicioso por email. Em contrapartida, na web, o risco centralizou-se, sobretudo, nos ficheiros executáveis (.exe) descarregados da internet, embora não tenham sido os únicos. É, contudo, um método que está a cair em desuso, asseguram os peritos da Check Point.

Por fim, quanto às motivações, na perspetiva da vice-presidente de research da Check Point, Maya Horowitz, o ano passado mostrou que os hackers, cada vez mais, não querem apenas dinheiro mas procuram também “reconhecimento”. A especialista destaca igualmente o aumento dos casos de hacktivismo, isto é, quando existem causas “sociais ou políticas” a motivarem esses ataques. “Este tipo de ataque, outrora uma ferramenta dos ativistas individuais, está agora a ser usado por governos como uma forma de atacar os adversários indiretamente”, afirma a responsável, lembrando que foi o que se sucedeu antes da invasão da Ucrânia pela Rússia ou do conflito entre o Israel e o Hamas.

O ECO viajou para Viena (Áustria) a convite da Check Point.