Infecções por ransomware estão no topo da lista dos resultados mais comuns de ataques de phishing

Oitenta e quatro por cento das organizações foram vítimas de phishing no ano ado, 59% das quais foram atingidas por ransomware. Por que, então, menos de um quarto dos conselhos acha que o ransomware é uma prioridade?

Um relatório da empresa de software de gerenciamento de ameaças internas Egress encontrou algumas conclusões surpreendentes quando falou com a liderança de TI: Apesar da ameaça generalizada e muito séria do ransomware, muito poucos conselhos de istração o consideram uma prioridade.

Oitenta e quatro por cento das organizações relataram ter sido vítimas de um ataque de phishing no ano ado, disse Egress, e dessas 59% foram infectadas com ransomware como resultado. Se você adicionar os 14% das empresas que disseram que não foram atingidas por um ataque de phishing, ainda assim, cerca de 50% de todas as organizações foram atingidas por ransomware em 2021.

A Egress disse que seus dados mostram que houve um aumento de 15% nos ataques de phishing bem-sucedidos nos últimos 12 meses, com a maior parte dos ataques utilizando links e anexos maliciosos. Esses métodos não são novos, mas um aumento de 15% nos ataques bem-sucedidos significa que algo não está funcionando.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Apesar do aumento das tentativas de phishing bem-sucedidas e do fato de mais da metade desses ataques levarem a infecções por ransomware, apenas 23% dos conselhos de istração consideram o ransomware uma prioridade. Além disso, 52% das organizações alocam menos de um quarto de seu orçamento de segurança para lidar com phishing, apesar de 84% das organizações terem sido vítimas desses ataques em 2021.

Por que existe essa desconexão?

O estado da luta contra phishing

“Apesar de 83% de nossos entrevistados gastarem uma parte de seu orçamento de segurança em medidas anti-phishing dedicadas, fica claro pelos dados anteriores deste relatório que muitos ataques ainda estão acontecendo”, disse o relatório.

Se você está se perguntando o que exatamente as empresas estão fazendo, a Egress disse que 72% compraram seguro cibernético, 64% contrataram advogados e 55% investiram em serviços de investigação forense. Além disso, 98% das organizações disseram ter realizado treinamento antiphishing durante o ano ado, com 55% dizendo que o fizeram mais de uma vez por ano.

Seguros e treinamentos são onde começa a aparecer uma ruptura entre as ideias e a realidade, sugere o estudo. No caso do seguro, que muitos consideram um impedimento, muitas vezes é o contrário. “Pagamentos para cibercriminosos, principalmente para demandas de ransomware, geralmente financiam novos ataques e colocam as organizações em maior risco futuro de ataques repetidos”, disse o relatório.

Egress disse que os cibercriminosos costumam procurar empresas com seguro cibernético, atacá-las e definir o resgate logo abaixo do limite de pagamento de sua seguradora, garantindo que ganhem dinheiro e incentivando mais empresas a optar por segurar e ignorar. “Algumas empresas acreditam que a melhor ideia é pagar e, pelo menos, serão deixadas em paz no futuro. Infelizmente, isso é uma ilusão”, disse Egress.

Em termos de treinamento, o relatório descobriu que 45% das organizações substituem seu fornecedor de treinamento anualmente, o que Egress disse que sugere que eles estão procurando um treinamento mais eficaz ou que sentem que o treinamento existente não está funcionando.

Jack Chapman, vice-presidente de inteligência de ameaças da Egress, disse que não é muito surpreendente que os ataques continuem sendo bem-sucedidos apesar do treinamento. “A verdade é que o treinamento em segurança cibernética é limitado em sua eficácia. É muito esperar que as pessoas estejam constantemente vigilantes à ameaça de phishing”, disse Chapman.

Como preencher a lacuna de eficácia

O treinamento não funciona, o seguro incentiva os cibercriminosos, as taxas de sucesso dos ataques estão aumentando e os conselhos parecem não se importar. Tudo isso está levando a uma séria lacuna entre a séria ameaça representada por phishing e ransomware e a atitude e as respostas orçamentárias que os líderes de TI obtêm.

Chapman disse que as placas podem ter vários motivos para ignorar a ameaça de phishing e ransomware. Alguns, disse ele, estão enterrando a cabeça na areia, enquanto outros confiam no seguro para cuidar do problema. Outros ainda acreditam que não são de alto nível o suficiente, ou grandes o suficiente, ou em uma indústria lucrativa o suficiente para serem um alvo, disse Chapman.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

“Há uma falta de conscientização sobre como as gangues de ransomware operam que alimenta essa desconexão – as pessoas que fazem parte dos conselhos podem não necessariamente ter um conhecimento profundo dos problemas de segurança cibernética, portanto, podem não entender a gravidade e a escala do problema”, disse Chapman.

Fechar essa desconexão será uma prioridade fundamental para os líderes de TI em 2022, disse Chapman. Ele diz que a liderança de TI e segurança sabe que seus conselhos não estão levando o ransomware a sério. Infelizmente para eles, é sua responsabilidade chegar até os membros do conselho.

“Trata-se de fazer com que pareça ‘real’ para pessoas que podem não estar necessariamente cientes da gravidade do problema e da probabilidade de um ataque. Realize roleplays para ajudá-los a entender o dano potencial causado pelo ransomware para educar o conselho sobre os impactos do mundo real – e como isso não pode necessariamente ser corrigido com um pagamento de seguro”, disse Chapman.