Estudo sobre o custo global do ransomware: o que os números nos dizem

Toda a sua organização está paralisada. Arquivos criptografados, operações congeladas e clientes afetados. O pedido de resgate é só o começo. Bem-vindo ao caos muito real de um ataque de ransomware.
Ransomware não é algo que possa acontecer. É realidade, e as empresas são atingidas todos os dias.
O novo da Illumio Estudo sobre o custo global do ransomware descobre o verdadeiro custo desses ataques. Conversamos com Trevor Dearing, diretor de soluções de infraestrutura crítica da Illumio, para revelar os insights do relatório e entender o caminho certo a seguir.
P: O relatório destaca um aumento acentuado no número de organizações que fecharam devido ao ransomware — de 45% em 2021 para 58% hoje. O que isso nos diz sobre a evolução do ransomware?
Esse salto de 45% para 58% é uma das estatísticas mais poderosas do relatório. Isso mostra uma mudança nas táticas do atacante. Eles não estão mais apenas roubando dados — eles estão usando ransomware para criar interrupções.
Pense no que acontece quando um hospital, uma rede de energia ou uma fábrica fecha. Veja o recente ataque à Synnovis, que interrompeu 1.130 operações planejadas e 2.190 consultas ambulatoriais em hospitais de Londres. Ou até mesmo os ataques à TI alemã de Südwestfalen, que paralisaram 70 municípios e afetaram 1,6 milhão de cidadãos. O impacto do ransomware vai muito além da TI. Isso ameaça a resiliência operacional e até mesmo a segurança pública.
Esse foco na interrupção torna o ransomware mais perigoso do que nunca. Os atacantes sabem que podem extorquir resgates muito maiores interrompendo as operações em vez de roubar registros.
As perspectivas globais de cibersegurança do Fórum Econômico Mundial de 2024 e 2025 destacam essa mudança. Na verdade, 45% dos líderes cibernéticos entrevistados no relatório deste ano disseram que estão preocupados com a interrupção das operações e dos processos de negócios devido ao ransomware. Essa é uma mudança em relação aos anos anteriores, quando o roubo de dados era a maior preocupação.
E, honestamente, muitas organizações não estão prontas para isso. Eles ainda estão preocupados em prevenir e detectar violações. Na realidade, eles deveriam se concentrar em estratégias de contenção de violações que os mantenham resilientes contra ataques inevitáveis.
P: As organizações dedicam quase um terço de seus orçamentos de TI à defesa contra ransomware, mas 88% ainda relatam ter sido vítimas. Onde está a desconexão?
Não se trata de quanto as organizações estão gastando. É sobre como eles estão gastando.
Os orçamentos estão aumentando ano após ano, mas o investimento geralmente é equivocado. Muitas organizações ainda estão focadas na prevenção de violações. Mas a verdade é que você não pode parar tudo. Os atacantes encontrarão uma maneira de entrar.
No momento, há muito excesso de confiança e complacência. As organizações acham que estão preparadas, mas os números contam uma história diferente.
O que é necessário é uma mudança de mentalidade. Em vez de investir recursos para impedir todos os ataques possíveis, as organizações precisam priorizar a resiliência, limitando o impacto de um ataque quando ele acontece. Isso significa investir em coisas como contenção de violações e higiene básica de segurança.
Outro problema é a complexidade. Quanto mais complexo for seu ambiente de segurança, mais difícil será responder de forma eficaz. Simplificar suas ferramentas e focar na redução da superfície de ataque pode fazer uma grande diferença.
P: O relatório afirma que os ataques de ransomware levam em média 132 horas e 17,5 pessoas para serem contidos e remediados. Por que a recuperação exige tantos recursos?
A recuperação de ransomware é um grande desperdício. Não se trata apenas do custo financeiro imediato — embora isso seja significativo — trata-se do custo de tempo e oportunidade. Você está afastando pessoas-chave de suas responsabilidades diárias para lidar com as consequências.
Essencialmente, é como designar vários funcionários em tempo integral por um ano para remediação.
Uma grande parte do problema é que muitas organizações ainda não têm estratégias efetivas de contenção implementadas. Quando um ataque se espalha pelos sistemas, a recuperação leva exponencialmente mais tempo e recursos.
O tempo, o custo e os recursos investidos em ataques de ransomware não começarão a diminuir até que as organizações tenham ferramentas que contenham as violações.
P: Ambientes híbridos e de nuvem são citados como particularmente vulneráveis. Por que isso?
Ambientes em nuvem são inerentemente complexos, e essa complexidade cria vulnerabilidades.
As organizações geralmente têm dificuldades com a visibilidade. Eles não sabem o que está em risco. Sistemas legados em configurações híbridas agravam o problema. Muitos desses sistemas não podem ser corrigidos, seja por causa de restrições operacionais ou porque são simplesmente muito antigos.
Outro problema é o ceticismo em relação às atualizações automáticas. Incidentes de TI como os de julho de 2024 fizeram com que as organizações tivessem receio de aplicar patches, mesmo quando necessário. Mas deixar os sistemas sem patches é como deixar a porta da frente aberta para os atacantes.
A chave é equilibrar o gerenciamento de patches com a redução de riscos. Se você não conseguir corrigir imediatamente, precisará controlar o acesso a esses sistemas até que possa.
Microsegmentação é fundamental aqui. Ele permite que você isole vulnerabilidades enquanto mantém as operações.
P: Por que os backups por si só não são uma defesa suficiente contra o ransomware?
Os backups são essenciais, mas não são uma solução mágica. Um dos maiores riscos é o excesso de confiança. As organizações presumem que, desde que tenham backups, elas estão seguras. Mas a realidade é muito mais complicada.
Se os invasores já se infiltraram na sua rede, você pode acabar fazendo backup do malware sem perceber. Mesmo quando os backups funcionam conforme o esperado, a restauração de sistemas leva tempo — tempo que talvez você não tenha durante um ataque de ransomware.
E não vamos esquecer o risco de algo dar errado no processo de backup. É uma solução frágil que não pode ser sua única linha de defesa.
O objetivo deve ser combinar backups com contenção. Se você puder reduzir o número de sistemas afetados por um ataque, terá menos sistemas para restaurar, fazendo com que o processo de recuperação mais rápido e menos dispendioso.
P: Quais são as medidas mais imediatas que as organizações devem tomar para melhorar sua resiliência ao ransomware?
A resiliência começa com a adoção de um Estratégia Zero Trust. Suponha uma violação e concentre-se em limitar o impacto.
A microsegmentação é uma ferramenta fundamental para o Zero Trust. Ele permite que você isole ameaças rapidamente, o que, por sua vez, reduz o tempo de inatividade e os custos de recuperação.
A contenção é fundamental. Quanto mais rápido você conseguir isolar um ataque, mais rápido poderá se recuperar.
As organizações também precisam entender o básico corretamente. Simplifique suas ferramentas de segurança, treine suas equipes e garanta que você tenha um plano sólido de resposta a incidentes.
Resiliência não se trata apenas de prevenir ataques — trata-se de estar preparado para se recuperar quando eles acontecerem.
P: O que o relatório nos diz sobre a segurança da cadeia de suprimentos?
O aumento da confiança na segurança da cadeia de suprimentos realmente chamou minha atenção.
Embora seja bom ver as organizações aumentarem suas expectativas em relação à segurança de terceiros, é perigoso confiar demais na segurança de seus fornecedores. Você não pode controlar o que está acontecendo em seus ambientes ou a seriedade com que eles levam a segurança em sua organização.
Mas você pode controlar o que eles têm acesso no seu.
É aqui que o Zero Trust entra em jogo. Não se trata de confiar menos em seus fornecedores — trata-se de confiar neles de forma diferente. Limite o acesso deles, prepare-se para o pior e concentre-se em proteger seu próprio ambiente.
Vejo que os ataques à cadeia de suprimentos são um dos maiores riscos existentes. Cabe às organizações assumir a responsabilidade por sua própria segurança.
Contenha o ransomware com o Illumio
O ransomware é implacável, mas não precisa devastar seus negócios. Segmentação Zero Trust da Illumio (ZTS)) foi criado para conter o ransomware em sua essência, impedindo sua capacidade de se espalhar pela sua rede. Mesmo que os atacantes violem suas defesas, o Illumio garante que os danos sejam limitados, isolando a ameaça antes que ela se espalhe para sistemas críticos.
Illumio fornece visibilidade granular em todas as suas cargas de trabalho, aplicativos e ambientes. Você pode ver exatamente como os sistemas se comunicam, facilitando a identificação de vulnerabilidades e a identificação de atividades incomuns. Esse insight permite criar e aplicar políticas de microssegmentação que bloqueiam o acesso não autorizado em tempo real.
Com o Illumio, o ransomware não tem espaço para operar. Ao conter o raio de explosão de um ataque, você protege dados confidenciais, mantém a continuidade operacional e evita interrupções dispendiosas.
Baixe sua cópia gratuita do Estudo sobre o custo global do ransomware hoje.