"Quanto tempo você conseguiria ficar sem poder usar seu computador?" A pergunta, diz André Carneiro, diretor-geral da Sophos no Brasil, pode ajudar a "cutucar" o board de uma empresa sobre o risco do ransomware, que continua no topo das ameaças cibernéticas globais
Há uma frase muito conhecida sobre cibersegurança que diz que a pergunta sobre ataques cibernéticos não é “se você vai passar por um”, mas “quando vai passar”. A frase não é nova, mas continua recorrente, apesar de todo o avanço da indústria de cibersegurança e de todo o conhecimento acumulado sobre os riscos cibernéticos. Um dos motivos está no coração da natureza humana: achar que o susto sempre será no vizinho. O outro, é ignorar que cibercriminosos e empresas usuárias têm acesso ao mesmo arsenal tecnológico. A diferença é para o quê ele vai ser usado.
Mas há um terceiro motivo para as taxas de cibercrime continuarem altas, que deriva da combinação de alguns fatores: baixo investimento corporativo em pessoas e tecnologia; falta de reconhecimento do problema entre a liderança e os conselhos corporativos; e a incrível capacidade de reinventar a engenharia social, da parte dos cibercriminosos. Junte tudo isso e você terá uma explicação para os dados apresentados pelo novo estudo “O Estado do Ransomware 2025“, lançado pela Sophos esta semana, que analisou dados de 17 países, incluindo o Brasil.
A edição deste ano constatou que quase 50% das empresas ao redor do mundo pagaram o resgate para recuperar seus dados – a segunda maior taxa de pagamento para pedidos de resgate em seis anos. No Brasil, 66% das organizações pagaram o resgate e recuperaram os dados, uma leve queda em relação aos 67% do ano passado.
Segundo André Carneiro, diretor-geral da Sophos no Brasil, a principal causa dos ataques continua sendo a presença de vulnerabilidades conhecidas, mas não corrigidas. “Vulnerabilidade nunca vai deixar de existir. Ela vai se renovando”, diz. Outro vetor relevante é o uso de credenciais válidas roubadas. Em vez de forçar acessos com senhas fracas, os atacantes têm buscado credenciais legítimas.
Além disso, há lacunas estruturais dentro das próprias empresas: falhas conhecidas, ausência de monitoramento 24/7, escassez de profissionais qualificados e processos mal definidos. “Quase 40% dos entrevistados admitem saber que têm falhas – e mesmo assim não corrigem.” Leia abaixo a íntegra da entrevista:
Por que as empresas continuam vulneráveis?
A vulnerabilidade continua sendo a principal causa raiz (44%). Porque vulnerabilidade nunca vai deixar de existir. Ela vai se renovando. Por exemplo, o equipamento de firewall, uma coisa que se colocava para proteger, acabou sendo um mecanismo que também é vulnerável. Os atacantes, no último ano, principalmente, exploraram demais firewalls vulneráveis. Nosso estudo mostra que 40% das empresas sabem que têm brechas, mas não conseguem corrigi-las. Falta orçamento, pessoal qualificado e, em muitos casos, compreensão da gravidade do risco. O atacante sabe disso e aproveita: ataca à noite, nos fins de semana, quando ninguém está monitorando.
Outro vetor relevante é o uso de credenciais válidas roubadas. Em vez de forçar acessos com senhas fracas, os atacantes têm buscado credenciais legítimas, muitas vezes obtidas em mega vazamentos globais de dados ou por meio de engenharia social.
Hoje, o criminoso prefere se passar por um usuário real. Se eu tiver a senha do CFO, quem entra no sistema é o CFO, não o hacker. Eu diria que este ano aqui é o ano do sucesso de usar a credencial sem corrompê-la, mantendo-a válida na estrutura.
Ao mesmo tempo, a empresa também começa a ter cada vez mais lacunas para atender o gerenciamento interno dela. O que são essas lacunas? São falhas que a equipe sabe que existem, mas não consegue cobri-las. Por exemplo, eu sei que minhas senhas não estão tão rígidas e que podem ser vazadas. Eu já sei que eu não tenho um gerenciamento 24 horas por 7 dias na minha empresa. Eu já sei que falta pessoal na minha companhia, que tem erro humano, que tem falta de qualificação pessoal, falta de tecnologia, falta de especialização de proteção.
A soma de todos os medos
Hoje, o problema é um misto disso tudo, combinado com a dificuldade de justificar orçamento e justificar uma mudança na empresa. Há falta de mão de obra qualificada, que é cara. Esse é um grande problema global, não afeta só Brasil.
Outro fator é, como posso dizer, decorrente da falta de compreensão da gravidade do problema. As empresas precisam priorizar melhor as ações, as decisões de tecnologia, de pessoas, de processos. E o atacante explora isso. Ele sabe que, no fim de semana, não tem ninguém na empresa. De noite, não tem ninguém na empresa, o gerenciamento é fraco, as soluções são fracas, eles não estão configurados corretamente.
Se a empresa não investe muito, ela vai contratar um profissional para liderar não tão caro, não tão experiente, para que ele tome conta da empresa. Aí ele vai ter direito a contratar pessoas não tão caras, não tão bem remuneradas, não as melhores do mercado, que não têm tanto conhecimento. Ou seja, a falta de investimento da empresa em uma estratégia de segurança bem montada tem como efeito final tomar um ataque.
E aí, o que acontece? O cibercrime continua atacando e tendo sucesso em criptografar dados das empresas no Brasil. Por exemplo, 54% das empresas que foram atacadas tiveram todos os seus dados criptografados. Em mais da metade dos casos, todos os dados são criptografados. Primeiro, o criminoso rouba os dados; depois, bloqueia tudo e inicia a extorsão. E mesmo que a empresa pague, não há garantia de que os dados não foram copiados ou vendidos.
Nem o backup ajuda
Hoje, os atacantes sabem que a maioria das empresas aposta nos backups como estratégia de recuperação. Por isso, em 94% dos ataques, o primeiro alvo do criminoso é justamente o backup. Se ele conseguir criptografar esse recurso, as chances de a empresa pagar aumentam muito.
Muitas organizações guardam o backup na mesma rede principal — o que é um erro grave. O criminoso encontra e ataca esse sistema com facilidade. Já vimos casos em que, ao comprometer o backup, a empresa simplesmente não tinha mais como voltar ao normal sozinha.
E tem mais: empresas grandes, com centenas ou milhares de servidores diferentes, enfrentam um desafio técnico enorme. Um dos nossos clientes tinha mais de mil servidores, cada um com seu sistema próprio. Restaurar tudo isso, em caso de ataque, é lento, complexo e arriscado. E muitas vezes esses sistemas não têm criptografia nativa ou foram mal desenvolvidos, o que aumenta ainda mais o risco.
Pagar não é garantia de nada
Mas pagar não resolve o problema. Você paga 100 mil dólares em criptomoeda, recebe a chave, respira aliviado. Mas não mudou nada na sua estrutura. Daqui a seis meses, o mesmo grupo volta. Já sabe por onde entrar. A Sophos tem investido em tecnologias de rastreamento de identidade na deep web para monitorar se dados de clientes estão sendo vendidos, mesmo sem que tenham percebido o roubo. O mais grave é quando o dado foi roubado e ninguém sabe. E isso acontece muito.
O Brasil segue entre os líderes globais em pagamentos de resgates. Em 2023, 56% das empresas brasileiras vítimas de ransomware pagaram, número que subiu em 2024. O criminoso olha para quem paga. E o Brasil virou um ímã. O valor médio do resgate por aqui caiu para US$ 393 mil, abaixo da média global de US$ 1 milhão, um reflexo das condições econômicas. “Se o atacante pedir US$ 5 milhões de uma empresa brasileira, ele sabe que não vai receber. Então ajusta para algo que a vítima consiga pagar.”
Mas essa negociação nem sempre ajuda. Quando o atacante percebe que a empresa quer negociar, ele aumenta o valor. Diz que vai subir para US$ 500 mil na semana seguinte. É um jogo de pressão. Pense nisso: muitas pessoas não acreditam que isso acontece na prática. Elas acham que em dois, três dias, “uma semaninha, no máximo”, está tudo legal. Eu já vi várias empresas ficando um mês paradas, negociando e tentando se recuperar.
Além do resgate, as empresas arcam com o custo de colocar tudo para funcionar novamente: em média, US$ 1,2 milhão só para retomada das operações. Considerando resgate, prejuízo e recuperação, o custo médio de um ataque no Brasil chega a R$ 7,5 milhões, com pessoas, com tecnologia, com processos. O lado irônico: a empresa não investe R$ 7 milhões num projeto, mas acaba gastando isso com a recuperação de algo que podia ser evitado. Por sorte, o tempo de recuperação está vindo mais rápido. Um quarto das empresas levou um dia para retomar, 30% uma semana, 25% um mês, 17% até três meses e 3% demoraram até seis meses.
O impacto humano: estresse, culpa e troca de equipes
O estudo da Sophos mostra que os ataques de ransomware causam um dano profundo nas equipes de segurança. Pelo menos 42% das empresas atacadas trocaram suas equipes. Isso é altíssimo. Em muitos casos, há aumento da carga de trabalho (27%) e troca imediata de liderança (20%) após o ataque. O sentimento de culpa e pressão é constante: 41% se sentem pessoalmente responsáveis por não conseguir impedir o ataque. Esse estresse atinge também a liderança.
Imagina o CISO ouvindo: ‘Resolve! Resolve! Volta minha empresa! Você que manda na área! Volta! Volta!’. Com tudo parado.
Veja que 36% sentiram aumento da pressão da liderança sênior também. Isso é muito alto, e o efeito da pressão é também muito grave para quem fica: ‘Se metade da minha equipe saiu porque sofremos um ataque, e se sofrermos outro ataque daqui a seis meses? E se nenhuma ação for tomada? Estarei fora na próxima.’
Um efeito colateral é o aumento da consciência na gestão. Cerca de 30% das empresas que passaram por um ataque começaram a priorizar segurança de forma real. O board começa a entender o risco e o impacto.
Como acordar o board para o problema?
Quer ver como colocar um board em pânico? Pergunte a eles quanto tempo eles conseguiriam ficar sem conseguir usar seu notebook para responder e-mails e trabalhar. Quanto tempo você aguentaria? O tempo médio que as pessoas nos respondem quando fazemos a pergunta é de 15 minutos, no máximo meia hora.
É por isso que o ransomware tem sucesso: o tempo é amigo do atacante e inimigo da vítima. A empresa sente a pressão e acaba realizando um mau investimento de pagar o criminoso. E fomenta o crime continuar também, né? Esse é o lado dois também do pagamento, né? Porque se eu recebo pagamento, eu continuo tendo crime e continuo querendo atacar aqui para ganhar dinheiro fácil em cima das empresas.
Temos um cliente, a Fubra, cujo CISO entrou na empresa com a missão de arrumar tudo que não tinham feito no passado na empresa, né? Ele levou no comitê todos os problemas e mostrou quanto seria o prejuízo que a empresa teria se tivesse um ataque de ransomware no dia seguinte. Juntou o CEO, os donos da empresa, o board e até os investidores. Eles disseram: “você está maluco, isso aí não acontece”. Aí ele falou: ‘isso se fosse uma semana parada. Se fosse um mês, deixa eu mostrar o prejuízo, eu também fiz para vocês’. Aquilo levou eles a começarem a entender que teriam que investir. E aí levou ele a colocar uma solução de detecção e resposta. Ele começou a aumentar o grau de maturidade da empresa justamente porque teve acesso à conversa com o board.
Os atacantes vão aos alvos mais fáceis primeiro. Então, o processo está melhorando, as pessoas estão tendo mais consciência, o próprio board mesmo das empresas, eles começam a ter mais visão de que não é só um pagamento, É uma parte da estratégia de negócio da empresa, mesmo segurança, cada vez mais dentro da estratégia de negócio da empresa. O risco existe, eles estão entendendo isso mais.
Como melhorar a segurança
A prevenção precisa virar prioridade. E não pode ser só do CISO. O board tem que entender que segurança faz parte da estratégia de negócio. Existem várias recomendações que a gente faz para poder melhorar: tecnologia, processos, pessoas. Tem que ter uma gestão de risco, ou seja, ver como está a vulnerabilidade, levar isso a sério. Senhas, como resolver o problema das senhas? Com tecnologias que diminuem o roubo de credencial, por exemplo, na estrutura, como autenticação de multifatores. Investir em soluções de e-mail que usam IA, por exemplo.
Outro ponto é usar o conceito de MDR. Ajudamos a empresa a ficar 24 horas por dia, 7 dias por semana, com alguém olhando a rede deles sem parar, contra ameaças, incidentes. É um cybersecurity as-a-service, que chamamos de Follow the Sun. Uma solução com IA generativa que se interliga com o SOC, que é o centro de operação da empresa, e fica acompanhando 24/7 com especialistas, com IA. Para você ter uma ideia, o tempo de resposta médio dessa solução para proteger uma empresa é de 38 minutos: um minuto para detectar, 25 minutos para investigar e 12 minutos para resolver.
Tem dois anos. No Brasil, tem mais de 150 empresas que já adotam essa solução. Ele visa à monitoração constante contra a detecção de incidentes e resposta rápida. O MDR ajuda o SOC a proteger a empresa 24/7. Tem mais gente fazendo no mercado, mas nossa solução tem o diferencial de ser agnóstica de plataforma de cibersegurança, não precisa ser a plataforma da Sophos.
Está melhorando?
Na minha visão, o que melhorou muito o processo de detecção foi justamente o dado de que o número de incidentes está cada vez maior, o que fez com que a informação sobre eles fosse mais volumosa. Então, você tem exemplos o tempo inteiro. Uma empresa de supermercados ou uma empresa do setor automobilístico conseguem saber os diferentes atacantes dos seus mercados. Por isso as empresas estão se preparando mais e se atentando mais ainda à importância de serem proativas.
As tecnologias estão cada vez mais endereçando o coração do problema – a operação 24/7. Isso tem que aumentar ainda, porque o atacante vai atrás do que é mais fácil para ele, não do que é o mais difícil. Se tem alguém olhando, dificultando, dando muito trabalho para poder fazer um ataque nessa empresa, ‘vou deixar de lado e vou procurar outra. Não vou perder muito tempo numa coisa que está difícil de ser feita, tem muito cara fácil sobrando.’
IA: aliada e ameaça na cibersegurança
Vamos pensar primeiro na parte ruim, o atacante. Ele explora muito isso também, porque ela acelera muitas funções de rastreamento, identificação de dado, meios sociais de abordar as pessoas, o uso de correlação de eventos que ele vai ter para atacar, engenharia social. Ele vai usar muito o IA para também entender esses mecanismos e construir ataques, construir com mais rapidez esse lado.
Só que o fabricante também avançou com a tecnologia. A gente começou na Sophos a usar IA em 2016, para você ter uma ideia. Criamos uma rede neural (Deep Machine Learning) com interface conectada com os sistemas, que inclui detecção automática e aprendizado automático. Ela começava a controlar e ver se os processos da máquina eram contaminados e aprendia a se defender sozinha. E a alertar operadores humanos.
Só que no último ano, principalmente no ano passado, todo mundo teve acesso a uma IA. A mesma tecnologia de IA que usamos para detecção e resposta para proteger o cliente também é usada pelo cibercrime para monitorar as empresas que foram invadidas por conta de uma vulnerabilidade. Vai ter muito briga dessas duas frentes.
Tem um lado que é muito preocupante para mim: a engenharia social aumentada. Eu já consigo colocar uma foto, uma imagem, uma voz igualzinha à sua para falar comigo e não é você nessa tela.
Olha como é rápido. O Barcelona, time de futebol, no meio do ano passado vendeu um jogador para um outro clube. Um cibercriminoso monitorava os emails do departamento financeiro do clube comprador para entender o procedimento da transação, como é que eles faziam para pagar uma conta, como é que eles faziam aquele processo todo. Na hora que houve a transferência de um jogador para outro clube, o hacker mandou um e-mail muito igual ao e-mail que o financeiro do Barcelona mandaria, com o mesmo estilo das conversas anteriores, mas com os dados dele de depósito para outro clube comprador, que pagou ao hacker o que seria pago para o Barcelona: 7,8 milhões de euros.
CISO Virtual, para quem não tem
A gente está para lançar, está em roadmap, uma solução nova, que se chama CISO Virtual. Vamos colocar esses riscos, esses processos, o dia a dia, a informação de como a empresa tem que seguir para frente, em uma ferramenta automatizada, na qual a empresa vai ter acesso online, em tempo real, aos KPIs, as informações que ela precisa para poder saber se está segura ou não está segura, ou ela está agindo bem.
Porque no mundo existem 359 milhões de empresas, mas apenas 32 mil CISOs. Ou seja menos de 0,01% das empresas no mundo têm uma pessoa no cargo de CISO cuidando da segurança. São muitas empresas que não têm uma gestão de segurança dedicada. E é aí que está o problema.
As grandes empresas, grandes grupos globais estão dentro desse universo de 38 mil, mas e as outras que não têm uma frente especializada de proteção? Esse sistema não vai atuar como um CISO dentro da empresa, mas pode recomendar à gestão ações que ela tem que tomar. EEle vai começar a verificar risco, verificar grau de risco e também ajudar a quem é CISO a pegar os números para poder justificar na empresa o que está fazendo e o que precisa ser feito. A ideia é que tanto CISOs quanto não CISOs tenham acesso a esse CISO virtual.
Tem empresas muito grandes que têm deficiências. Quando conversamos com eles, vemos que o problema nem sempre é custo, mas falta de informação. Explicamos como montar uma estrutura, como dar uma diretriz para poder se defender bem. E como isso tudo mexe muito com o negócio, mexe com o bolso, mexe com a imagem, mexe com tudo.
Muita empresa média e pequena, com menos de 10 mil funcionários, está crescendo muito rápido e deixando lacunas cada vez maiores também. Imagina uma empresa com alto grau de crescimento, triplicando de tamanho em dois anos. Aumenta o número de pessoas, expandindo o território. Algumas adotam a prevenção antes, outras só depois que tomam um ataque, que é o lado ruim, infelizmente.
Para continuar navegando como visitante, vá por aqui.
Nenhum cadastro foi encontrado. Verifique os dados inseridos!
Cadastre-se grátis, leia até 5 conteúdos por mês,
e receba nossa newsletter diária.
Já recebe a newsletter? Ative seu acesso
Pronto! Só falta um passo.
Clique no link do e-mail que enviamos para retornar aqui e começar a ler seus 5 conteúdos exclusivos.
Se você já recebe nossas newsletters,
preencha seu e-mail que lhe mandaremos instruções
VoltarOpa! Parece que este e-mail não está cadastrado ainda. Tente novamente ou, se quiser fazer um novo cadastro, clique aqui.
Este e-mail que escolheu já está cadastrado.
Se ele é seu e você já tem uma senha, faça login para prosseguir com a assinatura. Se não tiver ainda ativado seu acesso, clique aqui para criar sua senha, logar e continuar o processo de assinatura.
