A következő generációs digitális biztonság terén világvezető Sophos kiadta a “The State of Ransomware 2021”* globális kutatását, aminek főbb megállapításai:

A zsarolóvírus támadások utáni helyreállítás átlagos költsége az elmúlt 12 hónapban több, mint kétszeresére nőtt. A helyreállítási költségek, beleértve a kiesett munkaidőt, elveszett rendeléseket, működési költségeket és további tényezőket a 2020-as átlagos 761,106 dollárról 1,85 millióra nőtt 2021-re.

Az átlagos kifizetett váltságdíj 170,404 dollár volt. Ez azt jelent, hogy a támadásból való helyreállás átlagos költsége már tízszerese a váltságdíjnak. Míg a megkérdezettek által megadott legmagasabb kifizetett összeg 3,2 millió dollár volt, a leggyakoribb kifizetés 10,000 dollár volt. Tíz szervezet fizetett ki 1 millió dollárt vagy annál nagyobb összeget.

A cégek aránya, akik kifizették a váltságdíjat, a 2020-as 26 százalékról 32 százalékra nőtt 2021-re. Viszont csupán 8%.nak sikerült visszanyernie az összes adatát.

A Sophos kiemeli, hogy amikor zsarolóvírusról van szó, nem éri meg fizetni. Habár több szervezett döntött a váltságdíj kifizetése mellett, csupán egy igen kis részük kapta vissza az összes adatát. Ennek részben az lehet az oka, hogy titkosítási kulcsokat használni az adatok helyreállítására bonyolult lehet. Ráadásul nincs garancia a sikerre sem. Ahogy nemrégiben láttuk a DearCry és Black Kingdom zsarolóvírusoknál, az alacsony színvonalú, sebtében összeállított kódokkal és technikákkal indított támadások az adatvisszaállítást megnehezítik, vagy akár el is lehetetlenítik.

A válaszadók több, mint fele (54%) úgy véli, hogy a digitális támadások már túl fejlettek ahhoz, hogy az informatikai csapatuk önmagában kezelni tudja azt.

A titkosítás nélküli zsarolás mértéke növekszik. A válaszadók kis, de fontos 7 százaléka azt mondta, hogy az adataikat ugyan nem titkosították, azonban még így is váltságdíjat követeltek tőlük. Feltehetőleg amiatt, mert a támadóknak sikerült ellopni az adataikat. 2020-ban ez az arány 3% volt. 

Habár a zsarolóvírus támadást tapasztalt szervezetek száma a 2020-as felmérésben résztvevők 51 százalékáról 37-re csökkent 2021-ben és kevesebb szervezet szenvedett el adattitkosítást egy jelentős támadás eredményeként (2021-ben 54%, 2020-ban 73% volt), az új kutatás aggasztó mégis növekvő trendekre hívja fel a figyelmet, különösen a zsarolóvírus támadások hatása kapcsán.

“A zsarolóvírus által sújtott cégek számánál látható nyilvánvaló csökkenés jó hír, ám beárnyékolja a tény, hogy ez valószínűleg – legalábbis részben – a támadók viselkedésében bekövetkezett változásokra utal,” mondta Chester Wisniewski, a Sophos vezető kutatója. “Láttuk, hogy a támadók a nagyobb léptékű, általános, automatizált támadásokról célzottabbakra váltottak, melyek részét képezi a kézi, közvetlen, hús-vér emberek által végzett hackelés. Habár a támadások összesített száma ennek eredményeképpen alacsonyabb, tapasztalataink szerint az ezekből a fejlettebb és komplexebb célzott támadásokból származó kár lehetősége sokkal nagyobb. Az ilyen támadások után nehezebb a helyreállítás, ezt pedig tükrözi az, hogy az általános kármentesítési költségek megduplázódtak a felmérés szerint.”

A Sophos felhívja a figyelmet, hogy helyreállni egy zsarolóvírus támadást követően akár évekbe telhet és sokkal többről szól, mint a titkosítás visszafejtéséről és az adatok visszaállításáról. Teljes rendszereket kell a nulláról újjáépíteni, ráadásul többek között figyelembe kell venni a kiesett működési időt és az ügyfeleket ért hatást is. Továbbá a definíció, hogy mi számít “zsarolóvírus” támadásnak, folyamatosan fejlődik. A válaszadók egy kis, de szignifikáns százaléka olyan támadás áldozata volt, ahol adattitkosítás nélkül zsarolták meg őket. Ennek az lehetett az oka, hogy rendelkeztek olyan zsarolóvírus-ellenes technológiával, amely megakadályozta a titkosításos szakaszt vagy mert egyszerűen a támadók döntöttek úgy, hogy nem titkosítják az adatokat. Valószínűleg a támadók azért követeltek pénzt, hogy cserébe ne tegyék közzé online az ellopott információkat.

A Sophos javaslatai a zsarolóvírus és a kapcsolódó digitális támadások elleni védekezéshez:

1. Tartsd fejben, hogy meg fognak támadni! A zsarolóvírus továbbra is rendkívül elterjedt. Nincs olyan ágazat, ország vagy cégméret, amely immunissá tenne a kockázat ellen. Jobb felkészülten elkerülni a támadást, mint fordítva.

2. Készíts biztonsági mentéseket és tarts készen egy offline másolatot is! Válaszd a 3:2:1-es ipari standard megközelítést: 3 kör biztonsági másolat 2 különböző adathordozót használva, melyek közül 1 offline (azaz hálózati kapcsolat nélküli) állapotban van!

3. Alkalmazz többrétegű védelmet! Ahogy egyre több zsarolóvírus támadás részét képezi a zsarolás is, minden eddiginél fontosabb már eleve kívül tartani az ellenfeleket. Használj többrétegű védelmet a támadók blokkolására a teljes hálózat lehető legtöbb pontján.

4. Kombináld a hús-vér emberi szakértőket és a zsarolóvírus-ellenes technológiákat! A zsarolóvírus megállításának kulcsa a mélyreható védelem, mely kombinálja a dedikált zsarolóvírus-ellenes technológiát és a valós személyek által vezetett fenyegetéskutatást. A technológia biztosítja a skálázhatóságot és az automatizációt, amelyre a szervezetnek szüksége van, miközben az emberi szakértők képesek detektálni az árulkodó taktikákat, technikákat és procedúrákat (TTP), melyek azt jelzik, hogy támadó próbálkozik az adott környezetbe való bejutással

5. Ne fizesd ki a váltságdíjat! Könnyű mondani, de sokkal kevésbé könnyű megtenni ezt, amikor egy zsarolóvírus támadás következtében leállt a szervezet működése. Az etikai megfontolásoktól függetlenül a váltságdíj kifizetése nem hatékony módja az adatok visszanyerésének. Ha mégis fizetsz, ne feledkezz meg arról, hogy az ellenfelek átlagosan csak a fájljaid kétharmadát állítják helyre!

6. Legyen egy helyreállítási terved vírusos támadás esetére! A legjobb módja annak, hogy megakadályozd egy digitális támadás teljes, katasztrofális offenzívává válását az, ha előzetesen felkészülsz rá, rendelkezel incidenskezelő tervvel.