Okupy coraz wyższe i częściej płacone
Odsetek firm zatrudniających ponad 100 osób, które zostały dotknięte atakami ransomware, wzrósł na całym świecie – z 37 proc. w 2020 roku do 66 proc. w 2021. Średni płacony okup był prawie pięciokrotnie wyższy niż rok wcześniej i wyniósł 812 tys. dolarów. Trzykrotnie wzrósł też odsetek przedsiębiorstw, które zapłaciły przestępcom co najmniej milion dolarów. Firmy są coraz bardziej skłonne przesłać atakującym okup – w 2021 roku zrobiło to aż 46 proc. (w 2020 roku było to 32 proc.).
W Polsce 8 na 10 ataków kończyło się zaszyfrowaniem firmowych danych. Aż połowa przedsiębiorstw, których dotknął ten problem, zapłaciła przestępcom, nawet jeśli dysponowały one innymi sposobami odzyskiwania informacji, takimi jak kopie zapasowe. Firmy płaciły przestępcom średnio 670 tys. zł.
– Zwiększa się nie tylko skala ataków i ich koszt, ale też odsetek firm, które płacą okup, nawet jeśli mają inne opcje odzyskania danych. Powodów może być kilka: niekompletne kopie zapasowe, obawa przed wyciekiem skradzionych informacji, presja, aby jak najszybciej wrócić do funkcjonowania. Przywracanie danych za pomocą kopii zapasowych może być trudne i czasochłonne, wiele firm myśli więc, że zapłacenie okupu będzie szybsze. Niesie to jednak duże ryzyko dla bezpieczeństwa. Firma nie wie, co atakujący zrobił w sieci, jakie dane mógł skopiować i jakie furtki zostawił sobie na kolejne ataki – tłumaczy Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
Miliony na przywrócenie sprawności
22 proc. polskich firm w wyniku ataku ransomware poniosło koszt od 2,8 mln do nawet 5,8 mln złotych. Co dziesiąta zanotowała straty rzędu 5,8-29 mln zł. Wydatki te związane były z przestojami w działalności, straconymi możliwościami biznesowymi, kosztami operacyjnymi oraz koniecznością opłacenia okupu – średnio było to 7,6 mln zł. To znaczny wzrost w porównaniu z 2020 rokiem, gdy średni koszt wynosił 1,49 mln zł.
Jedynie 5 proc. polskich firm nie odczuło negatywnego wpływu ataku na codzienną działalność. 62 proc. przyznało, że ransomware miał poważne skutki dla działania biznesu. Połowa przedsiębiorstw znacząco odczuła utratę szans biznesowych i przychodów. W porównaniu ze średnią światową, w Polsce przedsiębiorstwa dłużej neutralizują skutki ataku. Tylko 39 proc. firm udało się to w mniej niż tydzień (globalnie było to 53 proc.). Co czwarta firma przywracała normalną działalność do miesiąca, a 31 proc. – od 1 do nawet 3 miesięcy.
– Przywracanie systemu po ataku to skomplikowany proces. Firma w takiej sytuacji może być wyłączona na wiele tygodni, co generuje ogromne koszty. Dlatego konieczne jest przygotowanie się na atak, tworzenie kopii zapasowych, ćwiczenie i aktualizowanie planu działania, aby jak najszybciej wznowić pracę. Ważne są również regularne kontrole bezpieczeństwa oraz inwestowanie w wysokiej jakości zabezpieczenia. Najlepszą ochroną jest aktywne „polowanie” na zagrożenia i identyfikowanie atakujących jeszcze zanim dostaną się do sieci. Firmy, które nie mają specjalistów ds. cyberbezpieczeństwa mogą powierzyć to zadanie zewnętrznym ekspertom odpowiedzialnym za wykrywanie zagrożeń i reagowanie na nie – radzi Grzegorz Nocoń.
Według badania Sophos aż 77 proc. polskich firm doświadczyło tego zagrożenia – w roku 2020 było to zaledwie 13 proc. Całkowite straty spowodowane przez ransomware wzrosły pięciokrotnie. Połowa przedsiębiorstw, których dane zostały zaszyfrowane, płaci okup przestępcom.
Karol Pietras - Członek Zarządu NASK S.A:
Ransomware jest narastającym problemem w obszarze zagrożeń w cyberprzestrzeni. Elementem napędzającym ten proces jest z jednej strony wciąż dość łatwy sposób przeprowadzenia ataku,
a z drugiej opłacalność tego działania stymulowana wypłacanym przez ofiary okupem.
Proces ataku składa się z trzech głównych faz: infekcji, osadzenia i uruchomienia. Do przeprowadzenia pierwszej fazy często wykorzystywane są działania związane z wykorzystaniem skradzionych danych uwierzytelniających, ataki na luki w przestarzałym i podatnym oprogramowaniu oraz kampanie phishingowe, pozwalające docelowo na ekstrakcję danych ofiary. Skutkiem infekcji jest zainstalowanie złośliwego oprogramowania na stacjach roboczych lub serwerach, co często umożliwia atakującemu wdrożenie bardziej zaawansowanych narzędzi i skuteczniejszy atak.
Proces ataku, począwszy od pierwotnej infekcji, może zostać uruchomiony w ciągu jednego dnia.
W przypadku większych podmiotów, ze względu na złożoność struktur, procesów i systemów trwa to zwykle kilka dni. Im większa organizacja tym więcej celów krytycznych dla przestępców. Z jednej strony oznacza to, że przy wdrożeniu odpowiedniego wykrywania i monitorowania organizacje będą miały więcej czasu na reakcję i obronę, z drugiej jednak strony należy liczyć się z większą determinacją atakujących, co może przełożyć się na precyzyjny, dobrze zaplanowany atak. Dlatego ważnym elementem aby uchronić się przed tego rodzaju atakami jest przeprowadzanie cyklicznych audytów i testów penetracyjnych, a także prowadzenie działań budujących świadomość wśród użytkowników.
Znaczne ograniczenia powierzchni ataku można osiągać poprzez:
· Mapowanie i łatanie zasobów w organizacji, bieżąca aktualizacja urządzeń, systemów
i aplikacji. Testy penetracyjne pomogą zidentyfikować miejsca, w których należy podnieść mechanizmy obronne, aby zapobiec pierwszej fazie infekcji.
· Konieczne jest zapewnienie kopii zapasowych krytycznych danych biznesowych i systemów
w zabezpieczonej lub zdalnej lokalizacji. Złośliwe oprogramowanie może szukać lokalnych kopii zapasowych i będzie je traktować priorytetowo w kontekście jego uszkodzenia.
· Uświadamianie pracowników aby używali silnych, długich i skomplikowanych kombinacji znaków przy ustawianiu haseł dostępowych oraz by byli wyczuleni w stosunku do wiadomości phishingowych. Można to osiągnąć poprzez warsztaty dotyczące bezpieczeństwa i kampanie wzmacniające świadomość użytkowników w organizacji.
· Monitorowanie prowadzane w ramach outsourcingu usług może być niezwykle pomocne w zatrzymaniu postępu infekcji niebezpiecznym złośliwym oprogramowaniem.
· Zalecana jest również silna ochrona punktów końcowych (komputerów pracowników) aby zapobiec uruchomieniu złośliwego oprogramowania, a także unikanie oprogramowania ściągającego dodatkowe złośliwe moduły. Samo posiadanie działającej ochrony punktów końcowych nie wystarczy, ale jest wysoce zalecane jako konieczny punkt wyjścia.
· Przeprowadzanie cyklicznych audytów i kontroli systemów przez podmioty zewnętrzne, które w sposób pełni obiektywny dokonają analizy poziomu zabezpieczeń infrastruktury.
