67 proc. przedsiębiorstw zaliczanych do infrastruktury krytycznej (branża energetyczna, naftowo-gazowa i użyteczności publicznej) zostało zaatakowanych przy użyciu oprogramowania ransomware w 2024 roku. Z badań firmy Sophos wynika również, że ubiegły rok był pierwszym w historii raportu „State of Ransomware”, gdy podmioty te zgłosiły większą skłonność do płacenia okupu niż do korzystania z kopii zapasowych. Ekspert Sophos zwraca uwagę, że sytuacje, w których spełnienie żądań przestępców przyśpieszy przywrócenie danych i działania systemów, są raczej wyjątkami, a nie regułą.
Drugi rok z rzędu wskaźnik ataków ransomware na podmioty infrastruktury krytycznej pozostaje na poziomie 67 proc. Średni koszt odzyskania przez nie danych po ataku ransomware wyniósł w 2024 r. około 3,12 miliona dolarów, czyli nieznacznie mniej niż w 2023 r., kiedy wyniósł 3,17 mln dolarów.
Ekspert Sophos zwraca uwagę na to, uczestnicy badania często deklarują zatrzymanie ataków przed zaszyfrowaniem danych. – To ważny wskaźnik jakości monitorowania zagrożeń, wyszukiwania ich i szybkości działania zespołów ds. cyberbezpieczeństwa. Pozostaje on na takim samym poziomie jak w 2023 roku, ale jest niższy niż w latach 2021-2022. To niepokojące, ponieważ biorąc pod uwagę coraz większą popularność rozwiązań XDR i MDR, wynik ten powinien się poprawiać – podkreśla Chester Wisniewski, dyrektor ds. technologii w Sophos.
Rośnie gotowość do płacenia okupu
Z raportu „State of Ransomware in Critical Infrastructure 2024” wynika również, że przestępcy coraz częściej żądają coraz wyższych okupów. W 2024 roku jedynie 51 proc. badanych firm odzyskało dane dzięki wykorzystaniu kopii zapasowych. Z kolei 61 proc. podmiotów infrastruktury krytycznej zapłaciło okup za odzyskanie danych[1]. To wyższy odsetek niż w 2023 i 2022 roku, kiedy żądania przestępców spełniło odpowiednio 50 i 55 proc. badanych przedsiębiorstw.
– To pokazuje, że cyberprzestępcy zdają sobie sprawę, jak destrukcyjne mogą być cyberataki dla dostawców tych usług i widzą w tym okazję do zarobienia dużych pieniędzy. W 2024 roku średnia wysokość okupu płaconego przez podmioty dotknięte ransomwarem wynosiła 2,5 miliona dolarów – wskazuje Chester Wisniewski.
Brak wieloskładnikowego uwierzytelniania, niezaktualizowane oprogramowanie oraz gotowość do opłacenia wysokiego okupu wskazują na podatność instytucji na cyberataki i utwierdzają przestępców w przekonaniu, że jest to idealny cel kolejnego ataku. Jednocześnie nie istnieje idealny sposób, dzięki któremu ofiary mogą ,,wykupić się” z konsekwencji cyberataku.
– 55 proc. respondentów odzyskanie danych zajęło ponad miesiąc. Moim zdaniem przez większość tego czasu ofiary negocjowały z cyberprzestępcami, kupowały kryptowaluty i opóźniały odbudowywanie swoich systemów. Tymczasem odzyskanie wszystkich plików jest prawie niemożliwe, a systemy wciąż będą wymagały naprawy – tłumaczy Chester Wisniewski.
Zdaniem eksperta najlepszym rozwiązaniem dla podmiotów dotkniętych ransomware jest odmowa opłacenia okupu i niezwłoczne rozpoczęcie procesu odzyskiwania danych z własnej kopii zapasowej oraz przywrócenie do sprawności zaatakowanego oprogramowania i urządzeń.
Cyberprzestępcy atakują też kopie zapasowe
Jedną z metod szybkiego odzyskania danych, które zostały zaszyfrowane lub zniszczone w wyniku cyberataku, jest korzystanie z kopii zapasowych. Jednak, jak wykazało badanie Sophos, napastnicy chętnie atakują także środowiska backupu. 98 proc. podmiotów energetycznych, naftowo-gazowych i użyteczności publicznej dotkniętych oprogramowaniem ransomware w 2024 roku stwierdziło, że cyberprzestępcy próbowali naruszyć ich kopie zapasowe podczas ataku. Cztery na pięć (79 proc.) takich prób zakończyło się sukcesem, co jest najwyższym wskaźnikiem udanych ataków na kopie zapasowe we wszystkich badanych branżach.
Tegoroczne wyniki z branży infrastruktury krytycznej pokazują wyraźną zmianę w porównaniu z poprzednimi dwoma latami, kiedy cieszyła się ona imponującymi wskaźnikami wykorzystania kopii zapasowych, oscylującymi w granicach 70-77 proc. W 2024 roku z backupu skorzystało jedynie 51 proc. badanych podmiotów.
Co mogą zrobić instytucje infrastruktury krytycznej, żeby uchronić się przed atakami?
Chester Wisniewski podkreśla, że przedstawiciele branży infrastruktury krytycznej muszą zrozumieć, że ataki ransomware są bardzo poważnym zagrożeniem i zadbać o to, aby ich organizacje były w jak najmniejszym stopniu podatne na żądania opłacenia okupu.
– To jest jak najbardziej możliwe do zrobienia. Chodzi tylko o to, aby skupić się na podstawowych działaniach dotyczących cyberbezpieczeństwa. W 83 proc. firm atak ransomware był konsekwencją phishingu, kradzieży danych uwierzytelniających albo luk w zabezpieczeniach systemów. Aby tego uniknąć, w pierwszym kroku należy zadbać o wieloskładnikowe uwierzytelnianie i aktualizację oprogramowania systemów. To środki zaradcze, które nie generują dodatkowych albo wysokich kosztów – dodaje ekspert Sophos.
Chester Wisniewski przypomina również, że, jeśli firma zostanie zaatakowana, nie należy płacić okupu cyberprzestępcom. Nie gwarantuje to odzyskania dostępu do danych, a może wiązać się z ogromnymi kosztami. Ponadto, skradzione przez cyberprzestępców dane mogą trafić do dark webu, a zapłacenie okupu ich z niego nie usunie.
O raporcie
Dane z raportu „State of Ransomware in Critical Infrastracture 2024” pochodzą z badania przeprowadzonego w okresie od stycznia do lutego 2024 r. wśród 5 tys. liderów cyberbezpieczeństwa, w tym 275 z branży energetycznej, naftowej/gazowej i użyteczności publicznej. Respondenci pochodzili z 14 krajów z obu Ameryk, Europy, Azji i rejonu Pacyfiku. Badane firmy zatrudniały od 100 do 5 tys. pracowników, a ich roczne przychody wahały się od mniej niż 10 milionów dolarów do ponad 5 miliardów dolarów.
[1] Pytanie wielokrotnego wyboru.