Pagar ou não pagar o resgate: O custo real dos ataques de ransomware
Quando uma empresa é atingida por um ataque de ransomware, a questão imediata raramente é se as operações serão interrompidas, mas sim durante quanto tempo.
Os sistemas ficam offline, os dados ficam inacessíveis e a pressão aumenta rapidamente. No meio deste caos, pagar o resgate pode parecer a saída mais rápida e menos dolorosa.
E é exatamente por isso que muitas organizações o fazem.
O tempo de inatividade é dispendioso. Cada hora pode significar perda de receitas, cadeias de fornecimento interrompidas, compromissos não cumpridos com os clientes, exposição regulamentar e danos à reputação que demoram anos a reparar.
Quando as cópias de segurança estão desatualizadas, corrompidas ou encriptadas juntamente com os sistemas de produção, a liderança pode ver o resgate como o único caminho viável para restaurar as operações. Acrescenta a ameaça de fuga de dados sensíveis para o público e o que começou como um incidente técnico rapidamente se transforma numa crise legal, financeira e de relações públicas.
A partir da sala de reuniões, pagar o resgate pode parecer uma decisão comercial sombria mas pragmática.
Mas a realidade é muito mais complexa – e muito mais arriscada.
Porque é que pagar o resgate parece ser a escolha “racional”?
Os atacantes de ransomware compreendem a pressão das empresas. Concebe as suas operações para a explorar.
A maioria dos ataques de ransomware modernos já não se limitam à encriptação. Envolvem a exfiltração de dados, ameaças de fugas públicas, temporizadores de contagem decrescente e tácticas de negociação cada vez mais agressivas. Os atacantes pesquisam os seus alvos, estimam a sua capacidade financeira e calibram os pedidos de resgate em conformidade.
Para os executivos que enfrentam perdas crescentes, visibilidade técnica limitada e partes interessadas ansiosas, pagar pode parecer mais um controlo de danos do que uma capitulação.
A lógica é compreensível, no entanto, esta lógica assume uma coisa crítica: que os atacantes vão cumprir as suas promessas.
É nessa suposição que muitas organizações se queimam.
A dura verdade: Pagar o resgate não garante nada
Uma das ideias erradas mais perigosas sobre o ransomware é que o pagamento equivale a uma resolução. Na realidade, não há garantias.
As chaves de desencriptação podem não funcionar, podem restaurar apenas parcialmente os dados ou podem demorar semanas a serem entregues. Alguns atacantes simplesmente desaparecem após o pagamento. Outros regressam, exigindo fundos adicionais. Em muitos casos, as organizações descobrem que os dados confidenciais já foram vendidos ou vazados, apesar da conformidade.
Há também um risco a longo prazo que é frequentemente subestimado: pagar marcas que a tua organização está disposta a pagar.
Quando esse rótulo existe, seja através de informações criminais partilhadas, conversas na Internet obscura ou simples reputação, a tua organização torna-se um alvo mais atraente. Ou o mesmo grupo regressa, ou outros o seguem.
E depois há as implicações legais e de conformidade. Se os atacantes estiverem ligados a entidades ou jurisdições sancionadas, o pagamento pode expor a organização a sanções, multas ou investigações regulamentares. O que parecia ser uma saída rápida pode tornar-se um pesadelo jurídico e de governação prolongado.
Para além da própria organização, cada pagamento de resgate alimenta a economia do ransomware. Financia ferramentas mais avançadas, melhores infra-estruturas e campanhas mais agressivas, contra mais vítimas.
O ransomware não é um problema de TI
É aqui que muitas organizações se enganam na conversa.
O ransomware é muitas vezes enquadrado como uma falha técnica: um patch falhado, um e-mail de phishing, uma credencial comprometida. Mas, na realidade, o ransomware é um risco para o negócio, uma questão de governação e um teste de stress para a liderança.
A verdadeira decisão de pagar um resgate raramente é tomada durante o ataque. É tomada meses ou anos antes:
Investimento (ou falta dele) em estratégias de apoio.
Planeamento e teste da resposta a incidentes.
Sensibilização e formação dos empregados para a segurança.
Quadros de decisão claros a nível executivo.
As organizações que tratam o ransomware apenas como uma preocupação de TI descobrem frequentemente, demasiado tarde, que a recuperação técnica é apenas uma parte do problema. Os impactos legais, financeiros, operacionais e de reputação são mais rápidos do que a maioria das equipas de resposta consegue reagir.
Construir uma organização que não tem de pagar
A estratégia de ransomware mais forte não é decidir quando pagar – é criar uma organização que não tenha de o fazer.
Isso quer dizer que:
→ As cópias de segurança são isoladas, testadas e recuperáveis sob pressão.
→ Define claramente as funções de resposta a incidentes, incluindo as funções jurídicas e de comunicação.
→ Exercícios de mesa a nível executivo que simulam a tomada de decisões reais sob tensão.
→ Controlos de segurança concebidos em função da resiliência e não apenas da prevenção.
Nenhuma organização pode garantir que nunca será alvo de ataques. Mas as organizações podem controlar o grau de exposição, de preparação e de dependência das promessas dos atacantes.
A diferença entre uma empresa que paga e uma que recupera sem pagar raramente é a sorte. É a preparação.
Liderança sob pressão
Os ataques de ransomware revelam verdades incómodas. Sobre a visibilidade. Sobre as prioridades. Sobre se a resiliência foi tratada como um custo ou um investimento.
No momento da crise, os líderes são forçados a tomar decisões com informações incompletas, tempo limitado e consequências reais.
Pagar o resgate pode parecer a escolha responsável, mas raramente é a mais segura.
Pagaria o resgate?
Na Jolera, vemos a resposta ao ransomware não como uma caixa de verificação técnica, mas como parte de uma estratégia de resiliência mais ampla. Uma que alinhe a cibersegurança, a governação e a continuidade do negócio, antes que os atacantes forcem a conversa.
Desenvolva a ciber-resiliência antes da crise
Porque quando o ransomware ataca, a pior altura para decidir a sua estratégia é durante o ataque.