Em 2024, foram conhecidos 5.414 ataques por ransomware, o que representa um aumento de 11% em comparação com 2023. O ano de 2024 começou com um declínio na atividade de ransomware durante o primeiro trimestre, mas a frequência dos ataques aumentou no segundo trimestre e continuou a aumentar até ao final do ano. Os dados são do Ransomware Yearly Report 2024, da empresa Check Point Software Technologies
Os dados do relatório da empresa especializada em soluções de cibersegurança indicam que o se verificou um pico dramático de ciberataques durante o quarto trimestre, que registou 1827 incidentes, sendo 33% de todos os ataques de ransomware em 2024.
Para os especialistas da Check Point este pico de ciberataques pode ser atribuído, principalmente, à formação de muitos grupos novos a partir da dissolução de alguns grupos veteranos. Esta situação levou a que muitos afiliados experientes formassem novos grupos profissionais, conduzindo a um pico de ataques.
Em 2024, as ações de aplicação da lei dirigidas a grandes operações de ransomware, como a LockBit em fevereiro de 2024, resultaram em detenções, revelações de identidade de líderes de grupos e na apreensão de infraestruturas de cibercriminosos.
Aumento de grupos ativos
A ação repressiva contra os principais grupos de ransomware levou à sua fragmentação, promovendo uma maior concorrência entre grupos de ransomware mais pequenos e permitindo que outros agentes de ameaças ganhassem destaque. Essa mudança é evidente no aumento de 95 grupos de ransomware ativos em 2024, um aumento de 40% em relação aos 68 grupos ativos em 2023.
Entre os 46 novos grupos que surgiram, o RansomHub destacou-se como uma força dominante, ultrapassando mesmo o conhecido LockBit em termos de atividade. Estes novos participantes, como o FOG, Lynx, APT73 e Eldorado, remodelaram o cenário de ameaças, sendo responsáveis por uma parte crescente dos incidentes de ransomware. Nomeadamente, os 10 principais grupos foram responsáveis por 52,8% dos ataques, destacando a influência dos recém-chegados e um declínio no domínio dos grupos antigos, descreve a Check Point.
Os EUA continuaram a ser o país mais afetado, com 936 ataques de ransomware dentro das suas fronteiras. No quarto trimestre, a Índia registou 44 ataques de ransomware, o que reflete a sua crescente vulnerabilidade a este tipo de ciberataques.
A combinação do RansomHub, LockBit, Play, Akira, IncRansom e Medusa, juntamente com a ascensão de novos grupos, teve consequências devastadoras para as organizações globais, que registaram perdas financeiras e perturbações nas operações.
Por alvos setoriais, o setor dos serviços às empresas continuou a suportar o maior peso dos ataques de ransomware, espelhando as tendências de 2023, sofrendo 451 ataques registados, seguido pelo retalho e depois pela indústria transformadora, que registou um aumento significativo da atividade de ransomware nos últimos três meses do ano, com 201 incidentes no quarto trimestre, um foco acrescido neste setor por parte dos operadores de ransomware.
O setor da construção deve ser uma preocupação crescente, uma vez que os incidentes de ransomware aumentaram 50% em 2024 em relação a 2023. Este aumento fez com que o setor da construção subisse para o quarto lugar, ultrapassando os setores financeiro, da educação e dos cuidados de saúde, que ocupavam uma posição mais elevada em 2023.
Forças responsáveis pelo aumento
- Ransomware as a Service (RaaS): Este modelo de negócio democratizou o ransomware, permitindo que até mesmo agentes de ameaças iniciantes lancem ataques sofisticados. Grupos como o RansomHub, que emergiu como um ator dominante com 531 ataques, exemplificam o poder deste modelo.
- Fragmentação: A eliminação dos principais intervenientes levou a que grupos mais pequenos e ágeis preenchessem o vazio, aumentando a concorrência e a inovação.
- Táticas em evolução: Os agentes de ameaças estão a atacar cada vez mais os sistemas Linux e VMware ESXi, reconhecendo o seu papel fundamental nos ambientes empresariais. Além disso, estão a explorar ferramentas baseadas na cloud para roubo de dados e a tirar partido da IA para aumentar a eficácia dos ataques.
Com o aumento dos ataques de ransomware, é imperativo que as organizações adotem uma abordagem proativa e multicamadas à cibersegurança, incluindo:
- Deteção abrangente de ameaças: Implementar soluções que ofereçam visibilidade em tempo real da atividade da rede e identifiquem ameaças emergentes.
- Gestão de patches: Atualizar regularmente os sistemas para resolver vulnerabilidades conhecidas, especialmente em ambientes Linux e VMware.
- Educação e treino: Equipar os funcionários com os conhecimentos necessários para reconhecer tentativas de phishing e outros vetores de ataque comuns.
- Defesa colaborativa: Trabalhar com colegas do setor e com as autoridades policiais para partilhar informações e reforçar as defesas coletivas.
