A Sophos, a kibertámadásokat megállító innovatív biztonsági megoldások egyik globális vezetője közzétette éves “State of Ransomware 2024” felmérési jelentését, amely szerint a medián váltságdíj-kifizetés 500%-kal nőtt az elmúlt évben az előzőhöz képest. A váltságdíjat kifizető szervezetek átlagosan 2 millió dolláros kifizetést jelentettek, szemben a 2023-as 400 ezer dollárral. Azonban a váltságdíjat csak a költségek egy részét képezik. A felmérés azt találta, hogy a váltságdíjakat nem számítva a helyreállítás átlagos költsége elérte a 2,73 millió dollárt. Ez majdnem 1 millió dolláros növekedés a Sophos által 2023-ban jelentett 1,82 millió dollárhoz képest.

Megugrottak a váltságdíjak

A megugrott váltságdíjak ellenére az idei felmérés a zsarolóvírus támadások arányának enyhe csökkenését jelzi. A szervezetek 59%-át érte támadás, szemben a 2023-as 66%-kal. Habár a szervezetek bevételeinek növekedésével annak az esélye is nő, hogy zsarolóvírus támadás éri őket, még a legkisebbeket is (a kevesebb, mint 10 millió dolláros bevétellel bírókat) rendszeresen célba veszik. Az elmúlt évben 47%-ukat sújtotta zsarolóvírus-támadás.

A 2024-es jelentés azt is megállapította, hogy a váltságdíj követelések 63%-a 1 millió dollár vagy annál nagyobb összeg volt. A követelések 30%-a 5 millió dollár felett volt, ami azt sugallja, hogy a zsarolóvírusokat üzemeltetők hatalmas kifizetésekre törekszenek. Sajnos ezek a megnövekedett váltságdíjak nem csak a megkérdezett legmagasabb bevételű szervezeteket érintik. Az 50 millió dollárnál kisebb bevétellel rendelkező szervezetek közel fele (46%) szembesült 7 számjegyű váltságdíj-követeléssel az elmúlt évben.

A zsarolóvírus-támadások ma is a legdominánsabb fenyegetést jelentik

“Nem hagyhatjuk, hogy a támadási arány enyhe csökkenése az önelégültség érzését keltse bennünk. A zsarolóvírus-támadások ma is a legdominánsabb fenyegetést jelentik, és táplálják a kiberbűnözés gazdaságát. A zsarolóprogramok nélkül nem látnánk ugyanazt a sokféle és nagy mennyiségű megelőző fenyegetést és szolgáltatást, amelyek ezeket a támadásokat támogatják. A zsarolóvírus támadások egekbe szökő költségei szembemennek azzal a ténnyel, hogy ez a fajta bűncselekmény esélyegyenlőségre alapul. A zsarolóvírus-ek színtere minden kiberbűnöző számára kínál valamit, a képességeiktől és tudásuktól függetlenül. Míg egyes csoportok több millió dolláros váltságdíjakra összpontosítanak, vannak olyanok, amelyek megelégszenek kisebb összegekkel és a mennyiségekkel kompenzálják azokat.” mondta John Shier, a Sophos field CTO-ja.

Már második éve a kihasznált sebezhetőségek voltak a támadások leggyakrabban azonosított kiváltó okai, a szervezetek 32%-át érintve. Ezt szorosan követték a kompromittálódott hitelesítő adatok (29%) és az ártalmas célú emailek (23%). Ez direkt összhangban van a Sophos legfrissebb Active Adversary jelentéséből származó incidenskezelő megállapításokkal.

Azok az áldozatok számoltak be a szervezetükre gyakorolt legsúlyosabb hatásról, akiknél a támadást kihasznált sebezhetőségekkel indították. Náluk magasabb volt a biztonsági mentések tönkretételének (75%), az adattitkosításnak (67%) és a váltságdíj-kifizetésre való hajlandóságnak (71%) az aránya, mint ahol a támadások a kompromittálódott hitelesítő adatokkal kezdődtek. A megkérdezett szervezeteket lényegesebb nagyobb pénzügyi és működési hatás is érte. Az átlagos helyreállítási költség 3,58 millió dollár volt. Szemben azzal a 2,58 millió dollárral, ahol a támadás kompromittálódott hitelesítő adatokkal indult, továbbá a megtámadott szervezetek nagyobb hányadának tartott több mint egy hónapig a helyreállítás.

A jelentés további kiemelt megállapításai közé tartoznak:

• A váltságdíjat kifizetők kevesebb mint egynegyede (24%) adta át az eredetileg kért összeget. A válaszadók 44%-a számolt be arról, hogy kevesebbet fizetett, mint az eredeti követelés.
• Az átlagos váltságdíj-kifizetés a kezdeti váltságdíj-igény 94%-át tette ki.
• Az esetek több mint négyötödében (82%) több forrásból finanszírozták a váltságdíjat. Összességében a teljes váltságdíj-finanszírozás 40%-a származott maguktól a szervezetektől, 23%-a pedig a biztosítóktól.
• Az elmúlt évben zsarolóvírus által sújtott szervezetek 94 százaléka nyilatkozta azt, hogy a kiberbűnözők megpróbálták használhatatlanná tenni a biztonsági másolataikat a támadás során. Ez az arány 99%-ra emelkedett az állami és a helyi önkormányzatoknál egyaránt. Az esetek 57%-ában a biztonsági mentések kompromittálására tett kísérletek sikeresek voltak.
• Az adattitkosítással járó incidensek 32%-ában adatokat is loptak – ez némi emelkedés a tavalyi 30%-hoz képest -, ami erősítette a támadók azon képességét, hogy pénzt csaljanak ki áldozataiktól.

A kockázatkezelés a középpontjában áll annak a tevékenységnek, amit védelmezőként végzünk. A zsarolóvírus támadások két leggyakoribb kiváltó oka, a kihasznált sebezhetőségek és a kompromittálódott hitelesítő adatok megelőzhetőek, ám mégis túl sok szervezetet sújtanak. A vállalkozásoknak kritikusan kell felmérni, hogy mennyire vannak kitéve ezeknek a kiváltó okoknak és azonnal foglalkozniuk kell velük. Egy védekező környezetben, ahol szűkösek az erőforrások, itt az ideje a szervezeteknek is költséggel terhelni a támadókat. Csak a hálózatokba való behatoláshoz szükséges erőfeszítések növelésével remélhetik a szervezetek, hogy maximalizálják védekezési kiadásaikat” – mondta Shier.

A Sophos a következő bevált módszereket ajánlja a szervezeteknek a zsarolóprogramok és más kibertámadások elleni védekezéshez:

• Ismerd meg a kockázati profilod olyan eszközökkel, mint a Sophos Managed Risk, amely képes felmérni a szervezet külső támadási felületét, rangsorolni a legkockázatosabb kitettségeket és személy szabott kárelhárítási útmutatást nyújtani.
• Olyan végpontvédelmet implementálj, amelyet úgy terveztek, hogy megállítsa az örökzöld és folyamatosan változó zsarolóvírus technikák széles választékát! Ilyen például a Sophos Intercept X.
• Erősítsd meg védelmed folyamatosan aktív fenyegetés észleléssel, kivizsgálással és válaszlépésekkel, akár egy házon belüli csapaton keresztül, akár egy menedzselt észlelési és válaszadási (“Managed Detection and Response”, MDR) szolgáltató támogatásával!
• Hozz létre és tarts naprakészen egy incidensreagálási tervet, valamint készíts rendszeres biztonsági mentéseket, illetve gyakorold az adatok helyreállítását a biztonsági mentésekből!

Képek forrása: Shutterstock