A maioria das infecções de ransomware em empresas e instituições europeias não são relatadas às autoridades. Também não se sabe quantas vítimas são infectadas e se pagam o resgate. Isso complicaria a abordagem ao ransomware.
A Enisa, agência de segurança cibernética da União Europeia, escreve em um relatório que tem pouca visão sobre as vítimas de ransomware. Para sua investigação, a agência analisou 623 incidentes na UE e no Reino Unido e nos Estados Unidos que ocorreram no ano passado. No total, dez terabytes de dados foram roubados. Em 58% dos casos, os dados também foram roubados dos funcionários. A Enisa usou relatórios de empresas e governos, mídia e postagens em blogs e, em alguns casos, mensagens na dark web.
Uma conclusão notável no relatório é que, em 94.2% de todos os incidentes, a ENISA não conseguiu determinar se a empresa pagou o resgate. Em 37.88% dos casos, os dados foram posteriormente compartilhados na Internet que foram roubados durante o ataque. “A partir disso, podemos concluir que 61.12% de todas as empresas chegaram a um acordo com os invasores ou encontraram outra solução”, escrevem os pesquisadores. No caso de infecções por ransomware, tornou-se normal que os invasores também ameacem tornar públicos os dados roubados, como meio adicional de pressão sobre a vítima. Isso acontece na grande maioria dos casos.
Os pesquisadores também dizem que o número de casos estudados é “apenas a ponta do iceberg”. Na realidade, o número de infecções por ransomware seria muito maior. Segundo os pesquisadores, isso é difícil de determinar porque muitas vítimas não tornam seus incidentes públicos ou não os relatam às autoridades.
Isso também dificulta mais pesquisas sobre ransomware, diz Enisa. Em muitos casos, as vítimas são incapazes ou não querem dizer como os atacantes entraram pela primeira vez. Combinado com o fato de que os pagamentos de ransomware geralmente são feitos em segredo, “essa abordagem não ajuda no combate ao ransomware, muito pelo contrário”, escrevem os pesquisadores.
A ENisa defende melhores regras que exigem a comunicação de incidentes cibernéticos. Isso se tornará mais possível sob a Diretiva de Segurança de Redes e Informações ou NIS2. Trata-se de um regulamento europeu que está a ser elaborado e que obrigará as empresas de determinados setores a reportarem incidentes cibernéticos.