João Miguel Mesquita
A Sophos divulgou a edição mais recente do estudo anual “State of Ransomware in Retail”. O trabalho, realizado junto de responsáveis de TI e cibersegurança em 16 países, mostra que o retalho continua sob forte pressão dos ataques de ransomware, sobretudo devido a lacunas de visibilidade e a limitações internas que dificultam a prevenção e a resposta a incidentes.
Quase metade das ocorrências teve origem em falhas de segurança que as equipas desconheciam, o que reforça a dificuldade em mapear e controlar toda a superfície de ataque. Ao mesmo tempo, 58% das organizações que viram os seus dados encriptados acabaram por pagar o resgate, um valor que se mantém entre os mais elevados dos últimos anos.
Embora a taxa de encriptação global tenha descido, a atividade criminosa continua diversificada. Nos últimos doze meses, a equipa Sophos X-Ops identificou cerca de 90 grupos distintos a focar empresas do setor com ransomware ou extorsão publicada em sites de leaks. Entre os grupos mais ativos encontram-se Akira, Cl0p, Qilin, PLAY e Lynx. Após o ransomware, o comprometimento de contas foi o incidente mais recorrente, seguido das tentativas de fraude via BEC, em que os atacantes procuram manipular pagamentos através de emails empresariais.
As equipas técnicas continuam a enfrentar obstáculos para mitigar riscos. As limitações internas foram apontadas como um dos principais fatores operacionais que facilitam ataques, tal como a existência de zonas sem proteção adequada. Ainda assim, o estudo mostra que a taxa de incidentes travados antes da encriptação atingiu o valor mais elevado dos últimos cinco anos, sinalizando ganhos na deteção precoce.
O valor dos pedidos de resgate ilustra a agressividade dos atacantes. O pedido mediano duplicou para dois milhões de dólares, embora o pagamento médio se situe perto de um milhão. Na prática, os retalhistas mostram maior resistência face às exigências iniciais: a maioria pagou abaixo do valor pretendido pelos criminosos e uma escassa minoria pagou acima do pedido.
A capacidade de recuperação também se alterou. Menos empresas conseguiram restaurar dados a partir de cópias de segurança, uma descida que contrasta com anos anteriores. Em paralelo, o custo médio de recuperação excluindo resgates caiu para 1,65 milhões de dólares, o valor mais baixo em três anos. O impacto humano mantém-se elevado: quase metade das equipas de TI e cibersegurança reportou maior pressão após um incidente, e em cerca de um quarto dos casos houve substituição de equipas de liderança.
O estudo revela ainda que, embora a encriptação esteja em queda, os adversários ajustam rapidamente as suas estratégias. O número de ataques focados apenas na extorsão triplicou em dois anos, mostrando que os grupos procuram alternativas que dispensam a fase técnica de encriptar sistemas.
