//Estado do Ransomware nos EUA: relatório de 2019 para o primeiro ao terceiro trimestre
ransomware

Estado do Ransomware nos EUA: relatório de 2019 para o primeiro ao terceiro trimestre

ESTADO DO RANSOMWARE NOS ESTADOS UNIDOS: RELATÓRIO DE 2019 DO 1º AO 3º TRIMESTRE

Nos primeiros nove meses de 2019, pelo menos 621 entidades governamentais, provedores de serviços de saúde e distritos escolares, faculdades e universidades foram afetadas pelo ransomware. Os ataques causaram perturbações maciças: serviços municipais e de emergência foram interrompidos, práticas médicas foram fechadas permanentemente, pacientes de emergência foram desviados, transações imobiliárias foram interrompidas, cobrança de impostos sobre propriedades e contas de água atrasada, procedimentos médicos cancelados, escolas fechadas e dados perdidos .

Entidades estaduais, municipais e municipais

Pelo menos 68 entidades estaduais, municipais e municipais foram impactadas desde o início do ano. Os incidentes incluem:

  • Lake City : Em junho, Lake City foi vítima de um ataque de Ryuk. A demanda de resgate de US $ 460.000 foi coberta por uma apólice de seguro sujeita a uma franquia de US $ 10.000. O diretor de TI foi demitido e agora está processando a cidade. Nem todos os dados foram recuperados.
  • Baltimore . Em maio, Baltimore se tornou a segunda cidade dos EUA a ser atingida por uma variedade de ransomware chamada RobbinHood. A cidade se recusou a pagar a demanda de US $ 76.000. O ataque causou uma interrupção generalizada na prestação de serviços, com transações de propriedades e cobrança de impostos e água atrasando. Os custos de recuperação foram estimados em US $ 18,2 milhões.
  • New Bedford: Em julho, New Bedford recebeu a maior demanda de resgate já divulgada publicamente – US $ 5,3 milhões – depois que seus sistemas foram comprometidos. A cidade fez uma contraproposta de US $ 400.000, que foi rejeitada. Os custos de recuperação são estimados em menos de US $ 1 milhão e serão cobertos pelo seguro.

Educação

Houve um total de pelo menos 62 incidentes envolvendo distritos escolares e outros estabelecimentos de ensino, que impactaram potencialmente as operações em até 1.051 escolas, faculdades e universidades individuais.

  • Distrito escolar de Rockville Center : RCSD, um distrito com sete escolas, foi vítima de um ataque de Ryuk em julho. O resgate foi pago pela seguradora da escola, que conseguiu negociar um pagamento menor, reduzindo a demanda de $ 176.000 para $ 88.000. A RCSD recebeu uma dedução de US $ 10.000.
  • Escolas públicas da Louisiana : em julho, os distritos escolares de três paróquias do norte da Louisiana, Sabine, Morehouse e Ouachita, foram atingidos por ransomware. Em resposta, o governador John Bel Edwards declarou estado de emergência, o que permitiu recursos estatais (como especialistas em segurança cibernética da Guarda Louisiana Nacional, Louisiana State Police, o Escritório de Serviços de Tecnologia e outros) a ser disponibilizado às escolas impactadas.
  • Distrito escolar de Moses Lake : em julho, o distrito escolar de Moses Lake, que abrange 16 escolas, foi afetado por um ataque de ransomware originário de um endereço IP em Moscou. O distrito se recusou a pagar o resgate de US $ 1 milhão, optando por reconstruir seus sistemas restaurando servidores de backups off-line com quatro a cinco meses de idade.

Cuidados de saúde

O setor de saúde continuou sendo um alvo popular de ransomware. Os cibercriminosos entendem que os prestadores de serviços de saúde geralmente estão mais inclinados a pagar o resgate, pois isso pode resultar em perda de dados que pode colocar vidas em risco. Do primeiro ao terceiro trimestre, houve um total de 491 ataques de ransomware a profissionais de saúde, incluindo:

  • Centro de Saúde Comunitário Park DuValle : em junho, um ataque de ransomware fez com que o Centro Comunitário de Saúde ParkDuvalle não conseguisse acessar registros médicos, detalhes de contato de pacientes e informações de seguro. Durante sete semanas, as quatro clínicas do ParkDuvalle não puderam marcar consultas e a equipe foi forçada a recorrer ao uso de caneta e papel. O ParkDuvalle finalmente concordou em pagar o resgate de US $ 70.000.
  • PerCSoft : No final de agosto, o PerCSoft, um serviço de gerenciamento em nuvem que fornece soluções de backup para consultórios dentários nos EUA, foi infectado com uma variedade de ransomware chamada Sodinokibi. Aproximadamente 400 consultórios odontológicos não conseguiram acessar as informações do paciente. Várias fontes afirmam que o resgate foi pago, embora o valor total não tenha sido especificado.
  • Campbell County Health : em setembro, Campbell County Health, Wyoming, sofreu um ataque de ransomware que causou uma interrupção generalizada. As internações foram interrompidas, as cirurgias foram canceladas e os pacientes de emergência foram redirecionados para outros hospitais. Duas outras instituições ligadas ao Campbell County Health também foram afetadas pelo ataque.

Tendências

  • Ataques através de MSPs em ascensão : Os cibercriminosos estão cada vez mais visando softwares comumente usados ​​por MSPs e outros provedores de serviços terceirizados. Nesses ataques, vários clientes do MSP ou do provedor de serviços podem ser atingidos simultaneamente, como foi o caso do incidente de agosto no qual 22 cidades do Texas foram impactadas.
  • As demandas de resgate ficam maiores : a demanda média de resgate continuou aumentando em 2019. Como outras empresas, as empresas criminosas buscam maximizar seus lucros e cobrar o máximo que puderem por seus “serviços”. Se uma organização estiver disposta a pagar US $ 500.000, o próximo pode estar disposto a pagar US $ 600.000.
  • Seguro cibernético : as entidades seguradas podem ter maior probabilidade de pagar demandas que resultem em ransomware mais lucrativo do que seria, o que serviria para incentivar novos ataques. Consulte o relatório da ProPublica A economia de extorsão: como as companhias de seguros estão alimentando um aumento nos ataques de ransomware .
  • E-mail e Protocolo de Área de Trabalho Remota : E-mail e anexos e RDP continuam sendo os vetores de ataque de sua escolha. O último é vulnerável ao ransomware por meio da exploração em sistemas não corrigidos, configurações de segurança mal configuradas e ataques de força bruta em credenciais de logon fracas.

Impacto financeiro

Devido à falta de dados publicamente disponíveis, não é possível estimar o custo desses incidentes. Em Baltimore, os custos foram estimados em US $ 18,2 milhões; em Albany, NY, que conseguiu restaurar seus dados de backups, em US $ 300.000; enquanto um provedor de serviços de saúde relativamente pequeno estimou seus custos de inatividade entre US $ 30.000 e US $ 50.000 por dia. Se os custos em todos os casos fossem semelhantes aos da Albany, o custo total combinado de todos os 621 incidentes seria de US $ 186.300.000. Mas isso pode ser uma enorme subestimação. O Diretor de Informações do Condado de Winnebago, Gus Gentner, declarou recentemente, “As estatísticas nos informam que o incidente médio com ransomware custa US $ 8,1 milhões e 287 dias para se recuperar”. Não podemos comentar sobre a precisão dessa declaração, mas, se estiver correta, o custo total será superior a US $ 5 bilhões.

É importante observar que nem todos os custos serão diretamente atribuíveis ao ataque de ransomware. Em muitos casos, uma parcela representará gastos de recuperação para compensar o subinvestimento em TI nos anos anteriores.

Leve embora

“Não há razão para acreditar que os ataques se tornarão menos frequentes em um futuro próximo”, disse Fabian Wosar, CTO da Emsisoft. “As organizações têm uma escolha muito simples de fazer: prepare-se agora ou pague depois”.

Opções de recuperação para entidades impactadas

Em alguns casos, pode ser possível reduzir os custos de recuperação. Por exemplo, desenvolvemos soluções alternativas para dois tipos de ransomware comumente usados ​​em ataques a entidades públicas. Essas soluções alternativas podem, em alguns casos, eliminar completamente a necessidade de pagamento de um resgate ou permitir a recuperação por significativamente menos do que a quantidade da demanda de resgate.

Não se sabe se todas as entidades afetadas estavam cientes dessas soluções alternativas.

É necessária uma melhor cooperação do setor público-privado

Melhorar os canais de coordenação e comunicação entre o setor privado e as agências policiais ajudaria a garantir que as entidades impactadas estejam cientes da disponibilidade de possíveis soluções e soluções alternativas que podem ajudar a minimizar os custos de recuperação.

Em uma nota positiva, houve passos nessa direção – a Lei de Equipes de Caça Cibernética e Resposta a Incidentes do DHS , por exemplo, que foi aprovada recentemente pelo Senado dos EUA.

Notas

Este relatório lista apenas casos divulgados publicamente. Como os incidentes não são relatados / registrados centralmente e os dados foram coletados dos relatórios da imprensa, os números contidos neste relatório podem ser inferiores ao total real. Este relatório não inclui estatísticas de ransomware relacionadas a ataques a empresas privadas, pois esses incidentes são divulgados com pouca frequência. 

Traduzido do Laboratório de Segurança EMSISOFT

Deseja saber mais sobre Segurança Clique Aqui!

Sou Analista de Sistemas Bacharel em Sistemas da Informação, Certificado MCTS 70-680 / MOS, Trabalho como Administrador de Redes e Servidores Windows e Linux! Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.