Náklady spojené s ransomwarovým útokem jsou 7krát vyšší než samotné výkupné. Platba výkupného je tak jen malou částí skutečných nákladů, které oběť ransomwarového útoku zaplatí. Upozorňuje na to Check Point Research, výzkumný tým společnosti Check Point Software Technologies.
Kyberzločinci obvykle požadují výkupné ve výši 0,7 až 5 % ročního příjmu oběti. V roce 2021 se výrazně snížila doba trvání ransomwarového útoku, a to z 15 dnů na 9. Celosvětově je ransomwarem týdně zasažena každá 53. organizace, což je meziroční nárůst o 24 %. Z výzkumu také vyplývá, že ransomwarové skupiny mají jasná pravidla pro úspěšné vyjednávání s oběťmi.
Check Point v průzkumu analyzoval databázi kybernetických incidentů Kovrr, která obsahuje mimo jiné informace o finančním dopadu útoků. Druhým zdrojem byla data o aktivitách ransomwarové skupiny Conti. Podařilo se tak získat ucelený obrázek o ransomwarových útocích z pohledu obětí i útočníků.
Z reportu například vyplývá:
1. Zaplacení výkupného je pro oběť ransomwarového útoku jen malou součástí nákladů. Check Point odhaduje, že celkové náklady jsou 7krát vyšší než částka, kterou organizace kyberzločincům zaplatí. Je totiž potřeba započítat náklady spojené s reakcí a obnovou, právní poplatky nebo náklady na monitoring.
2. Požadovaná částka výkupného závisí na příjmech oběti a pohybuje se v rozmezí od 0,7 % do 5 % ročního příjmu. Čím vyšší je roční příjem, tím nižší procento bude požadováno, aby výkupné nebylo neúměrně vysoké. Skupina Conti požadovala od svých obětí výkupné v hodně od jednotek po desítky milionů dolarů.
3. Délka ransomwarového útoku se v roce 2021 výrazně zkrátila, a to z 15 dnů na 9.
4. Ransomwarové skupiny mají jasná pravidla pro úspěšné vyjednávání s oběťmi a přizpůsobují tomu svou taktiku:
a. Základem je přesný odhad finanční situace oběti
b. Zhodnocení kvality ukradených dat a tedy určení vyjednávací pozice
c. Roli hraje pověst ransomwarové skupiny
d. Taktiku ovlivňuje také fakt, zda má organizace nějaké kybernetického pojištění
e. Roli hraje i přístup a zájmy vyjednávacího týmu oběti
„Většina výzkumů se zaměřuje na výkupné, ale jak se ukázalo, nejedná se zdaleka o konečné číslo. Kyberzločinci i oběti musí zvažovat mnoho dalších finančních aspektů. Kyberzločinci jsou při vyjednávání a definování výkupného velmi systematičtí. Nic není náhodné, vše je naplánováno dle jasně daných faktorů. Organizace, pokud nechtějí platit astronomické sumy, musí vybudovat robustní kybernetickou obranu a zejména dobře definovat plán reakce na ransomwarové útoky,“ říká Pavel Krejčí, Security Engineer z kyberbezpečnostní společnosti Check Point Software Technologies.
1. O víkendech a svátcích buďte obzvláště ostražití. Mnoho ransomwarových útoků probíhá o víkendech nebo svátcích, kdy je větší pravděpodobnost, že organizace na hrozbu zareagují pomaleji.
2. Pravidelně instalujte aktualizace a záplaty. WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky.
3. Nainstalujte si anti-ransomware. Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám.
4. Vzdělávání je nezbytnou součástí ochrany. Mnoho kyberútoků začíná cíleným e-mailem, který neobsahuje malware, ale pomocí sociálního inženýrství se snaží nalákat uživatele, aby klikl na nebezpečný odkaz. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany.
5. Ransomwarové útoky nezačínají ransomwarem, proto pozor i na jiné škodlivé kódy, jako jsou například Trickbot nebo Dridex, které proniknou do organizací a připraví půdu pro následný ransomwarový útok.
6. Zálohování a archivace dat je základ. Cílem ransomwaru je donutit oběť zaplatit výkupné, aby získala zpět přístup k zašifrovaným datům. To je však účinné pouze v případě, že cíl skutečně přístup ke svým datům ztratí. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je proto nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců a nespoléhat se, že si sami vzpomenou na zapnutí zálohy.
7. Omezte přístup jen na nutné informace a segmentujte. Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace sítě minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou organizací. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější.