Wskaźnik ataków ransomware na infrastrukturę krytyczną
Drugi rok z rzędu 67% podmiotów infrastruktury krytycznej padło ofiarą ataków ransomware. Średni koszt odzyskiwania danych w 2024 roku wyniósł 3,12 miliona dolarów, nieznacznie mniej niż w 2023 roku (3,17 miliona).
Eksperci Sophos podkreślają, że firmy często zgłaszają zatrzymanie ataków przed zaszyfrowaniem danych, co jest pozytywnym wskaźnikiem skuteczności działań zespołów ds. cyberbezpieczeństwa.
– To ważny wskaźnik jakości monitorowania zagrożeń, wyszukiwania ich i szybkości działania zespołów ds. cyberbezpieczeństwa. Pozostaje on na takim samym poziomie jak w 2023 roku, ale jest niższy niż w latach 2021-2022. To niepokojące, ponieważ biorąc pod uwagę coraz większą popularność rozwiązań XDR i MDR, wynik ten powinien się poprawiać – podkreślił Chester Wisniewski, dyrektor ds. technologii w Sophos.
Wzrasta liczba firm płacących okup za odzyskanie danych
Z raportu „State of Ransomware in Critical Infrastructure 2024” wynika, że przestępcy żądają coraz wyższych okupów. W 2024 roku tylko 51% firm odzyskało dane z kopii zapasowych, podczas gdy 61% podmiotów infrastruktury krytycznej zapłaciło okup.
To wzrost w porównaniu do lat 2023 i 2022, kiedy odpowiednio 50% i 55% firm spełniło żądania cyberprzestępców.
– Pokazuje to, że cyberprzestępcy zdają sobie sprawę, jak destrukcyjne mogą być cyberataki dla dostawców tych usług i widzą w tym okazję do zarobienia dużych pieniędzy. W 2024 roku średnia wysokość okupu płaconego przez podmioty dotknięte ransomwarem wynosiła 2,5 miliona dolarów – wskazał Chester Wisniewski.
Brak wieloskładnikowego uwierzytelniania, przestarzałe oprogramowanie oraz skłonność do płacenia wysokich okupów zwiększają podatność instytucji na cyberataki, potwierdzając dla przestępców, że to atrakcyjny cel. Jednocześnie nie ma pewnego sposobu, aby „wykupić się” z konsekwencji ataku.
– 55 proc. respondentów odzyskanie danych zajęło ponad miesiąc. Moim zdaniem, przez większość tego czasu ofiary negocjowały z cyberprzestępcami, kupowały kryptowaluty i opóźniały odbudowywanie swoich systemów. Tymczasem odzyskanie wszystkich plików jest prawie niemożliwe, a systemy wciąż będą wymagały naprawy – wytłumaczył Chester Wisniewski.
Ekspert zasugerował, że najlepszym rozwiązaniem dla firm dotkniętych atakiem ransomware jest odmowa zapłaty okupu oraz natychmiastowe rozpoczęcie procesu odzyskiwania danych z własnych kopii zapasowych, a także naprawa zaatakowanego oprogramowania i urządzeń.
Cyberprzestępcy coraz częściej atakują również kopie zapasowe
Korzystanie z kopii zapasowych to jedna z najszybszych metod odzyskiwania danych zaszyfrowanych lub zniszczonych w wyniku cyberataku. Jednak badanie Sophos wykazało, że cyberprzestępcy coraz częściej atakują także systemy backupowe.
W 2024 roku aż 98% firm z sektorów energetycznego, naftowo-gazowego i użyteczności publicznej, które padły ofiarą ransomware, doświadczyło prób naruszenia ich kopii zapasowych.
79% tych ataków zakończyło się sukcesem, co stanowi najwyższy wskaźnik spośród wszystkich badanych branż. Wyniki te pokazują znaczący spadek skuteczności backupów w porównaniu z poprzednimi latami, kiedy z kopii zapasowych korzystało 70-77% firm. W 2024 roku odsetek ten wyniósł jedynie 51%.
Jak instytucje infrastruktury krytycznej mogą chronić się przed atakami?
Chester Wisniewski podkreślił, że firmy z sektora infrastruktury krytycznej muszą zdawać sobie sprawę z powagi zagrożenia, jakie stanowią ataki ransomware, i podjąć działania minimalizujące ryzyko płacenia okupu.
– To jest jak najbardziej możliwe do zrobienia. Chodzi tylko o to, aby skupić się na podstawowych działaniach dotyczących cyberbezpieczeństwa. W 83 proc. firm atak ransomware był konsekwencją phishingu, kradzieży danych uwierzytelniających albo luk w zabezpieczeniach systemów. Aby tego uniknąć, w pierwszym kroku należy zadbać o wieloskładnikowe uwierzytelnianie i aktualizację oprogramowania systemów. To środki zaradcze, które nie generują dodatkowych albo wysokich kosztów – powiedział ekspert Sophos.
Wisniewski dodał, że w razie ataku nie należy płacić okupu, ponieważ nie gwarantuje to odzyskania danych i może wiązać się z dużymi kosztami. Dodatkowo, skradzione dane mogą trafić do dark webu, a zapłata okupu nie zabezpieczy przed ich dalszym wykorzystaniem.
Kilka słów o raporcie
Raport „State of Ransomware in Critical Infrastructure 2024” opiera się na badaniach przeprowadzonych od stycznia do lutego 2024 roku, obejmujących 5 tysięcy liderów cyberbezpieczeństwa, w tym 275 przedstawicieli sektora energetycznego, naftowego/gazowego oraz użyteczności publicznej.
Respondenci pochodzili z 14 krajów obu Ameryk, Europy, Azji i regionu Pacyfiku. Badane firmy zatrudniały od 100 do 5 tysięcy pracowników, a ich roczne przychody wynosiły od poniżej 10 milionów do ponad 5 miliardów dolarów.