Aż 76% ataków ransomware skutkuje zaszyfrowaniem firmowych danych. Odsetek ten jest najwyższy od 2020 r.
Z raportu firmy Sophos wynika, że styczność ze złośliwym oprogramowaniem miały 2 na 3 badane przedsiębiorstwa. Dane jednoznacznie wskazują, że skutki cyberataków najboleśniej odczuwają ci, którzy spełnili żądania cyberprzestępców.
Mniej ataków, większe zagrożenie
Sophos zanalizował dane na temat średnich i dużych firm z Europy, obu Ameryk, Azji i rejonu Pacyfiku. 66% badanych przedsiębiorstw stało się w 2022 r. celem ataku ransomware – odsetek ten nie zmienił się od roku 2021. Eksperci Sophos wskazują, że tempo działań cyberprzestępców utrzymuje się na stałym poziomie, mimo zauważalnego spadku liczby ataków z wykorzystaniem złośliwego oprogramowania. – Po przejściowym spadku podczas pandemii odsetek ataków zakończonych zaszyfrowaniem danych wrócił do alarmującego stanu. Cyberprzestępcy udoskonalają swoje techniki i przyspieszają ataki, aby maksymalnie skrócić czas, w którym obrońcy mogą im przeszkodzić – mówi Chester Wiśniewski, dyr. ds. technologii w firmie Sophos.
W blisko 1/3 przypadków cyberprzestępcy nie tylko zaszyfrowali, ale i wykradli firmowe dane. To tak zwana metoda „double dip”
Najczęściej hakerzy wykorzystywali luki w zabezpieczeniach (36% wszystkich przypadków), aby uzyskać dostęp do firmowych zasobów. W blisko 30% ataków wejście do systemu umożliwiły nielegalnie pozyskane dane logowania. Należy dodać, że w blisko 1/3 przypadków cyberprzestępcy nie tylko zaszyfrowali, ale i wykradli firmowe dane. To tak zwana metoda „double dip”. Specjaliści Sophos ostrzegają, że atakujący stosują ją coraz częściej, gdyż umożliwia im to dalsze szantażowanie przedsiębiorstw, które odmówiły zapłacenia okupu. Hakerzy będący w posiadaniu poufnych informacji mogą grozić np. ich ujawnieniem lub odsprzedaniem konkurencji.
Współpracujący z hakerami płacą dwa razy więcej
Działania cyberprzestępców generują ogromne wydatki dla zaatakowanych firm. Średni koszt odzyskania danych po cyberataku z użyciem ransomware wyniósł 375 tys. dolarów (około 1,55 miliona złotych) w przedsiębiorstwach korzystających z kopii zapasowych. Firmy, które zdecydowały się zapłacić okup hakerom, na powrót do operacyjności wydawały dwa razy więcej – 750 tys. dolarów, czyli około 3,1 mln zł.
Ogólny odsetek przedsiębiorstw, które poszły na rękę cyberprzestępcom, wyniósł 46%. Najczęściej okupy płaciły firmy o rocznych przychodach w wysokości powyżej 5 miliardów dolarów. Może to wynikać częściowo z faktu, że wiele z nich posiada ubezpieczenia cybernetyczne obejmujące spłatę żądań atakujących.
Konieczne jest korzystanie z kopii zapasowych danych
– Większość firm zaatakowanych przez ransomware nie będzie w stanie odzyskać wszystkich swoich plików nawet jeśli odkupią od cyberprzestępców klucze szyfrujące. Dlatego konieczne jest korzystanie z kopii zapasowych danych. Płacenie okupu nie tylko poprawia sytuację finansową hakerów, ale także spowalnia reakcję na incydent naruszenia danych. Ostatecznie zwiększa to i tak horrendalne koszty usunięcia szkód po cyberataku – dodaje Chester Wiśniewski.
Jak skutecznie chronić się przed ransomware?
Specjaliści z firmy Sophos zalecają wzmocnienie ochrony firmowej sieci o dodatkowe narzędzia zabezpieczające punkty końcowe i stosowanie rozwiązań Zero Trust Network Access (ZTNA), pozwalających na bezpieczny zdalny dostęp do firmowych danych. Zdaniem ekspertów kluczem do skutecznej ochrony jest wykrywanie, badanie i reagowanie na zagrożenia 24 godziny na dobę, 7 dni w tygodniu — zarówno we własnym zakresie, jak i z pomocą zewnętrznych zespołów reagowania oraz usług (tzw. Managed Detection and Response, MDR). Nie należy zapominać też o regularnym wykonywaniu kopii zapasowych, wdrażaniu aktualizacji oprogramowania, systematycznym przeglądzie konfiguracji narzędzi bezpieczeństwa oraz dbaniu o cyberhigienę.
Polowanie na zagrożenia prowadzone przez specjalistów jest skuteczne, ale badane muszą być wszystkie alerty
– Firmy muszą pracować nad skróceniem czasu potrzebnego na wykrycie atakujących i czasu reakcji na incydent naruszenia bezpieczeństwa. Polowanie na zagrożenia prowadzone przez specjalistów jest skuteczne, ale badane muszą być wszystkie alerty. Przestępcy powinni też być usuwani z systemów w ciągu godzin i dni, a nie tygodni czy miesięcy.