No mundo interconectado de hoje, em que a tecnologia desempenha um papel fundamental em nossas operações diárias, estamos mais dependentes do que nunca de alguns fornecedores de tecnologia consolidados. Como compartilhou Kristen Mickelson (na foto), líder do grupo de práticas cibernéticas da Gallagher Bassett: “Mais entidades estão dependendo de cada vez menos produtos de tecnologia ou TI.”
Embora essa consolidação possa oferecer benefícios como eficiência de custos, integrações aprimoradas e fluxos de trabalho simplificados, ela também aumenta os riscos de segurança cibernética. Uma violação em um sistema consolidado pode permitir que os agentes de ameaças causem danos significativos ao obter acesso a várias organizações ao mesmo tempo.
Visando os pontos fracos da segurança da VPN
De acordo com Mickelson, o principal método que os agentes de ameaças usam agora para se infiltrarem nos sistemas é o direcionamento de vulnerabilidades nas VPNs.
“É uma mudança significativa. No passado, os agentes de ameaças exploravam com frequência protocolos de área de trabalho remota (RDP) abertos, essencialmente obtendo acesso não autorizado por meio de ‘portas abertas’ encontradas em uma rede”, explicou.
“No entanto, as tendências atuais mostram que agora eles estão se infiltrando em sistemas por meio de redes privadas virtuais (VPNs) que não possuem autenticação multifator (MFA), e os e-mails de phishing continuam sendo um ponto de entrada comum para isso”, continuou Mickelson.
“Eu caracterizaria 2024 como o ano em que as vulnerabilidades em VPNs sem MFA se tornaram a nova linha de frente dos ataques cibernéticos.”
Um exemplo notável é a gangue do ransomware Akira, que atacou mais de 250 organizações na Europa e na América do Norte no ano passado. O grupo obtém acesso principalmente por meio de serviços de VPN que não possuem MFA. Desde o seu surgimento em março de 2023, o Akira acumulou alarmantes US$ 42 milhões em pagamentos de resgate.
Uma mudança na direção dos pagamentos de resgate
Conforme compartilhado por Mickelson, um dos motivos pelos quais grupos como o Akira têm sido incrivelmente bem-sucedidos é que o clima cibernético atual está voltando a favorecer os pagamentos de ransomware.
Há vários anos, quando eclodiu o conflito na Ucrânia, o volume de ataques e pagamentos de ransomware diminuiu devido às sanções impostas a entidades e instituições financeiras russas sob a lista de não pagamento do OFAC (Office of Foreign Assets Control).
No entanto, Mickelson observou que o cenário cibernético está vendo agora um ressurgimento dos ataques de ransomware, impulsionado por grupos menores e mais descentralizados. Esses atores menores são capazes de negociar com mais eficiência, muitas vezes levando a pedidos de resgate mais baixos, o que os torna mais bem-sucedidos em garantir os pagamentos.
“Com esse contexto em mente, do ponto de vista de sinistros, independentemente de onde o grupo de ransomware resida ou de quão grande ou pequeno ele seja, não incentivamos nossos segurados a pagar”, compartilhou Mickelson.
Para os corretores que navegam pelas apólices cibernéticas, Mickelson enfatizou a importância de garantir que a cobertura de ransomware esteja explicitamente incluída.
“Os corretores precisam avaliar se a apólice inclui a cobertura ‘pagar em nome de’, o que significa que a seguradora cuidará das negociações e dos pagamentos, ou se é uma apólice de reembolso em que o cliente cuida dos pagamentos de resgate e é reembolsado depois.”
Ela também recomendou que os corretores garantam que as apólices cibernéticas incluam interrupção de negócios e cobertura de restauração como uma alternativa, caso os pagamentos de resgate sejam restritos devido à conformidade com OFAC ou sanções.