Świadomość tego, czym jest i jak działa ransomware, rośnie. Przedsiębiorstwa mają dostęp do coraz skuteczniejszych zabezpieczeń, a międzynarodowe organizacje współpracują, by powstrzymać grupy cyberprzestępców, których celem jest wymuszanie okupów. Mimo tego ransomware stale ewoluuje i dziś każda firma może stać się jego ofiarą.
W 2022 r. 73% badanych organizacji zostało dotkniętych przynajmniej jednym udanym atakiem ransomware, wynika z raportu przygotowanego przez Barracuda Networks. Wysoka liczba ofiar prawdopodobnie odzwierciedla powszechną dostępność tanich narzędzi typu ransomware-as-a-service. To dzięki nim takie ataki są w zasięgu wielu cyberprzestępców.
Jednak nie jest to jedyny powód do niepokoju. Z badań wynika również, że w 2022 roku ponad jedna trzecia (38%) badanych organizacji padła ofiarą powtórnego ataku ransomware. Oznacza to, że stały się one dwa lub więcej razy celem tych samych lub różnych cyberprzestępców.
- Pojedynczy udany atak ransomware może sparaliżować codzienne operacje i łańcuchy dostaw klientów, powodując chaos i straty finansowe, niszcząc reputację firmy, a także relacje z klientami. O ile bardziej destrukcyjny będzie zatem powtórny atak, zwłaszcza jeśli firma nie zdążyła jeszcze w pełni zregenerować sił po poprzednim incydencie – mówi Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Organizacje, które chcą lepiej bronić się przed ponownymi atakami, powinny zbadać, co w pierwszej kolejności naraża je na ryzyko. Wyniki badań sugerują, że może to być połączenie kilku czynników, w tym nieskutecznych środków bezpieczeństwa i reagowania na incydenty oraz gotowości do zapłacenia okupu.
Czynniki ryzyka, czyli co może sprawić, że organizacje padną ofiarą powtarzających się ataków ransomware
Nieodpowiednie środki bezpieczeństwa: Badania pokazują, że w przypadku 69% organizacji dotkniętych ransomware atak rozpoczął się od złośliwej wiadomości e-mail, której celem było zdobycie danych uwierzytelniających, pozwalających atakującym na dostęp do sieci. Aplikacje internetowe i ruch sieciowy znalazły się w tym rankingu na drugim miejscu i stanowią dziś obszar rosnącego ryzyka.
Nieodpowiednia reakcja na incydent podczas i po ataku: Wielokrotne udane ataki ransomware sugerują, że luki w zabezpieczeniach firmy nie są w pełni eliminowane po pierwszym incydencie. Przyczyn takiego stanu rzeczy może być kilka. Należą do nich między innymi brak kontroli bezpieczeństwa czy brak możliwości reagowania na incydenty i prowadzenia dochodzeń. W połączeniu z rosnącym wyrafinowaniem atakujących czynniki te sprawiają, że wszczepione backdoory lub inne narzędzia pozostawione przez atakujących nie są identyfikowane i usuwane. Dodatkowo jeśli po pierwszym ataku nie zostaną zresetowane hasła do kont, cyberprzestępcy mogą ponownie użyć skradzionych danych uwierzytelniających. Pełne zneutralizowanie ataku jest trudne, ponieważ atakujący często używają legalnych narzędzi administracyjnych, wykorzystywanych przez zespoły IT, więc ich pojawienie się w sieci może nie wzbudzić natychmiastowych podejrzeń.
Płacenie okupu: Z badania Barracuda Networks wynika, że organizacje, które zostały wielokrotnie zaatakowane, częściej deklarowały zapłacenie okupu, by odzyskać zaszyfrowane dane. Aż 42% firm, które zostały dotknięte atakiem ransomware trzy lub więcej razy, zapłaciło cyberprzestępcom okup. Zrobiło tak 34% przedsiębiorstw zaatakowanych dwukrotnie i 31% takich, które zmierzyły się z ransomware tylko raz. Firmy atakowane więcej niż raz rzadziej korzystały również z systemu tworzenia kopii zapasowych danych, który pomaga w przywróceniu sprawności operacyjnej organizacji. Istnieje więc ryzyko, że cyberprzestępcy wybierają na swój cel te przedsiębiorstwa, które są skłonne zapłacić okup.
Obrona przed oprogramowaniem ransomware
Wiele organizacji może nie zdawać sobie sprawy z wagi problemu i niebezpieczeństw związanych z ransomware. Jednak tylko 27% ankietowanych firm czuje się niedostatecznie przygotowanych do radzenia sobie z tego typu atakami.
- Branża bezpieczeństwa ma do odegrania kluczową rolę w budowaniu świadomości przedsiębiorstw oraz w walce z wyzwaniami związanymi z ransomware. Z pomocą przychodzą wielowarstwowe technologie bezpieczeństwa, w tym ochrona poczty elektronicznej oparta na sztucznej inteligencji, zarządzanie dostępem w zgodzie z polityką Zero Trust, bezpieczeństwo aplikacji, rozszerzone możliwości wykrywania i reagowania (XDR) oraz skuteczne reagowanie na incydenty, prowadzące do wykrycia atakujących i załatania luk, aby cyberprzestępcy nie mogli łatwo znaleźć drogi do firmowych systemów. Co ważne, każda poważna strategia ochrony przed ransomware powinna zacząć się od myślenia o tworzeniu kopii zapasowych i odzyskiwaniu danych po awarii – podsumowuje Mateusz Ossowski z Barracuda Networks.