A Sophos kiberbiztonsági cég nemrég kiadott globális kutatása szerint a zsarolóvírus támadások utáni helyreállítás átlagos költsége az elmúlt 12 hónapban több, mint kétszeresére nőtt, a 2020-as átlagos 761,106 dollárról 1,85 millióra.
A váltságdíjat kifizető cégek aránya a 2020-as 26 százalékról 32 százalékra nőtt, rossz hír, hogy viszont csupán 8 százaléknak sikerült visszanyernie az összes adatát. Az átlagos kifizetett váltságdíj 170,404 dollár volt, és tíz szervezet fizetett ki 1 millió dollárt vagy annál nagyobb összeget. Pedig a Sophos kiemeli, hogy amikor zsarolóvírusról van szó, nem éri meg fizetni.
Ennek részben az lehet az oka, hogy titkosítási kulcsokat használni az adatok helyreállítására bonyolult lehet, ráadásul nincs garancia a sikerre sem. Ahogy nemrégiben a DearCry és Black Kingdom zsarolóvírusok esetében láthattuk, az alacsony színvonalú, sebtében összeállított kódokkal és technikákkal indított támadások az adatvisszaállítást megnehezítik, vagy akár el is lehetetlenítik. A válaszadók több, mint fele (54%) úgy véli, hogy a digitális támadások már túl fejlettek ahhoz, hogy az informatikai csapatuk önmagában kezelni tudja azt. A titkosítás nélküli zsarolás mértéke növekszik. A válaszadók 7 százaléka azt mondta, hogy az adataikat ugyan nem titkosították, azonban még így is váltságdíjat követeltek tőlük. Feltehetőleg amiatt, mert a támadóknak sikerült ellopni az adataikat. 2020-ban ez az arány 3% volt.
Habár a zsarolóvírus támadást tapasztalt szervezetek száma a 2020-as felmérésben részt vevők 51 százalékáról 37-re csökkent 2021-ben és kevesebb szervezet szenvedett el adattitkosítást egy jelentős támadás eredményeként (2021-ben 54%, 2020-ban 73% volt), az új kutatás aggasztó, mégis növekvő trendekre hívja fel a figyelmet, különösen a zsarolóvírus támadások hatása kapcsán.
A zsarolóvírus által sújtott cégek számánál látható nyilvánvaló csökkenés jó hír, ám beárnyékolja a tény, hogy ez valószínűleg – legalábbis részben – a támadók viselkedésében bekövetkezett változásokra utal. Láttuk, hogy a támadók a nagyobb léptékű, általános, automatizált támadásokról célzottabbakra váltottak, melyek részét képezi a kézi, közvetlen, hús-vér emberek által végzett hackelés. Habár a támadások összesített száma ennek eredményeképpen alacsonyabb, tapasztalataink szerint az ezekből a fejlettebb és komplexebb célzott támadásokból származó kár lehetősége sokkal nagyobb. Az ilyen támadások után nehezebb a helyreállítás, ezt pedig tükrözi az, hogy az általános kármentesítési költségek megduplázódtak a felmérés szerint”
– mondta Chester Wisniewski, a Sophos vezető kutatója.
Lehet, hogy a nulláról kell építkezni
A Sophos felhívja a figyelmet, hogy helyreállni egy zsarolóvírus támadást követően akár évekbe telhet és sokkal többről szól, mint a titkosítás visszafejtéséről és az adatok visszaállításáról. Teljes rendszereket kell a nulláról újjáépíteni, ráadásul többek között figyelembe kell venni a kiesett működési időt és az ügyfeleket ért hatást is.
Az is fontos szempont, hogy mit tekintünk „zsarolóvírus” támadásnak: a válaszadók egy kis, de szignifikáns százaléka olyan támadás áldozata volt, ahol adattitkosítás nélkül zsarolták meg őket. Ennek az lehetett az oka, hogy rendelkeztek olyan zsarolóvírus-ellenes technológiával, amely megakadályozta a titkosításos szakaszt vagy mert egyszerűen a támadók döntöttek úgy, hogy nem titkosítják az adatokat. Valószínűleg a támadók azért követeltek pénzt, hogy cserébe ne tegyék közzé online az ellopott információkat.
A Sophos javaslatai a zsarolóvírus és a kapcsolódó digitális támadások elleni védekezéshez:
- Tartsd fejben, hogy meg fognak támadni! A zsarolóvírus továbbra is rendkívül elterjedt. Nincs olyan ágazat, ország vagy cégméret, amely védett lenne. Jobb felkészülten elkerülni a támadást, mint fordítva.
- Készíts biztonsági mentéseket és tarts készen egy offline másolatot is! Válaszd a 3:2:1-es ipari standard megközelítést: 3 kör biztonsági másolat 2 különböző adathordozót használva, melyek közül 1 offline (azaz hálózati kapcsolat nélküli) állapotban van!
- Alkalmazz többrétegű védelmet! Ahogy egyre több zsarolóvírus támadás részét képezi a zsarolás is, minden eddiginél fontosabb már eleve kívül tartani az ellenfeleket. Használj többrétegű védelmet a támadók blokkolására a teljes hálózat lehető legtöbb pontján.
- Kombináld a hús-vér emberi szakértőket és a zsarolóvírus-ellenes technológiákat! A zsarolóvírus megállításának kulcsa a mélyreható védelem, mely kombinálja a dedikált zsarolóvírus-ellenes technológiát és a valós személyek által vezetett fenyegetéskutatást. A technológia biztosítja a skálázhatóságot és az automatizációt, amelyre a szervezetnek szüksége van, miközben az emberi szakértők képesek detektálni az árulkodó taktikákat, technikákat és procedúrákat (TTP), melyek azt jelzik, hogy támadó próbálkozik az adott környezetbe való bejutással.
- Ne fizesd ki a váltságdíjat! Könnyű mondani, de sokkal kevésbé könnyű megtenni ezt, amikor egy zsarolóvírus támadás következtében leállt a szervezet működése. Az etikai megfontolásoktól függetlenül a váltságdíj kifizetése nem hatékony módja az adatok visszanyerésének. Ha mégis fizetsz, ne feledkezz meg arról, hogy az ellenfelek átlagosan csak a fájljaid kétharmadát állítják helyre!
- Legyen egy helyreállítási terved vírusos támadás esetére! A legjobb módja annak, hogy megakadályozd egy digitális támadás teljes, katasztrofális offenzívává válását az, ha előzetesen felkészülsz rá, rendelkezel incidenskezelő tervvel.
