Analitycy ESET odkryli, że kilka znanych grup cyberprzestępców zaczęło ze sobą współpracować, aby jeszcze skuteczniej atakować małe i średnie przedsiębiorstwa. Tym razem ofiarami ataków typu ransomware były MŚP głównie w Europie i Azji. Polska po raz kolejny znalazła się w gronie najczęściej atakowanych państw.
Sprawę komentuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET:
Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane użytkownika i żąda okupu w zamian za ich odszyfrowanie. Może zaatakować urządzenia osobiste, takie jak komputery i smartfony, ale także sieci firmowe. Rozprzestrzenia się na różne sposoby np. przez e-maile.
W swoich najnowszych badaniach analitycy ESET zaobserwowali ataki na MŚP w branżach jak: produkcja, farmaceutyka, prawo, edukacja, opieka zdrowotna, technologia, hotelarstwo, usługi finansowe oraz administracja regionalna. Firmy sektora MŚP najczęściej korzystają z oprogramowania, które zaatakowali przestępcy, a jednocześnie często nie posiadają procesów odpowiednio zarządzających aktualizacjami bezpieczeństwa. Niewielkie firmy są idealnymi celami dla cyberprzestępców, ponieważ znacznie częściej niż duże organizacje, nie mają odpowiednich zabezpieczeń i zespołów dedykowanych cyberbezpieczeństwu. Przestępcy zakładają również, że jest większa szansa, że uda im się uzyskać okup od małej organizacji niż wielkiej korporacji, która dysponuje m.in. zespołem prawników i doradców.
Ataki typu ransomware zdarzają się bardzo często, jednak o istotnej części z nich nie wiemy. Wiele firm czy instytucji nie mówi publicznie o tym, że stały się ofiarami cyberprzestępców – zwłaszcza jeżeli zdecydowały się opłacić okup.
W najnowszym odkryciu analityków ESET pojawia się również wątek ransomware-as-a-service, czyli ransomware jako usługi biznesowej. Ten rodzaj ataku jest obecnie tak popularny, że powstały grupy cyberprzestępców, które tworzą narzędzia dla innych grup. Takie sieci połączeń pomiędzy różnymi grupami przestępców wskazują na coraz większą profesjonalizację środowiska i są głęboko niepokojące.
Jak pokazują badania, aż 80% zaatakowanych firm decyduje się zapłacić przestępcom. To nie jest dobry pomysł z dwóch podstawowych powodów. Po pierwsze, kiedy przestępcy otrzymują zyski ze swojej działalności, będą ją kontynuować. Próbując ochronić własną firmę przed utratą danych, wspieramy rozwój środowiska przestępczego. Po drugie, nie mamy żadnej gwarancji, że faktycznie odzyskamy nasze dane. Nie ma powodu, abyśmy wierzyli w obietnice osób, które nielegalnie dostały się do naszego systemu i nas szantażują. Wiemy, że aż 21% organizacji, które wpłaciły żądany okup, nie powstrzymała szantażystów od publikacji danych, które chciała ochronić[1].
Co zrobić, jeśli staniemy się ofiarą ransomware?
- Odłączyć zaatakowane urządzenie od reszty sieci. W praktyce oznacza to natychmiastowe odłączenie go od prądu.
- Dowiedzieć się jak najwięcej o ataku: jak został zainicjowany, jak się rozprzestrzenia i czy możliwe jest odzyskanie danych z kopii zapasowych.
- Podjąć kluczową decyzję: czy atak rozprzestrzenia się na tyle szeroko i szybko, że warto na pewien czas wstrzymać procesy biznesowe? Takie rozwiązanie może zdecydowanie ograniczyć zasięg ataku.
- Bezzwłocznie zaktualizować systemy bezpieczeństwa, jak i pozostałe oprogramowanie na wszystkich sprzętach działających w firmie, nie zapominając o urządzeniach mobilnych.
Najważniejsze jest jednak zabezpieczanie firmy, tak aby nie stać się ofiarą tego rodzaju ataku. Polskie firmy nie mogą pozwolić sobie na nieuważność – jak pokazują doniesienia z ostatnich lat, coraz częściej jesteśmy w czołówce atakowanych krajów. Dlatego tak ważne jest niezaniedbywanie regularnych aktualizacji oprogramowania na wszystkich urządzeniach. To właśnie stare, nieaktualne oprogramowanie jest zwykle furtką, przez którą cyberprzestępcy dostają się do naszych systemów.
[1] https://www.forbes.com/sites/daveywinder/2023/05/30/the-sobering-truth-about-ransomware-for-the-80-percent-who-paid-up/?sh=120032e39f64