67 proc. przedsiębiorstw zaliczanych do infrastruktury krytycznej (branża energetyczna, naftowo-gazowa i użyteczności publicznej) zostało zaatakowanych przy użyciu oprogramowania ransomware w 2024 roku. Z badań firmy Sophos wynika również, że ubiegły rok był pierwszym w historii raportu „State of Ransomware”, gdy podmioty te zgłosiły większą skłonność do płacenia okupu niż do korzystania z kopii zapasowych.
Średni koszt odzyskania danych po ataku ransomware wyniósł w 2024 r. około 3,12 miliona dolarów, czyli nieznacznie mniej niż w 2023 r., kiedy wyniósł 3,17 mln dolarów.
Rośnie gotowość do płacenia okupu
Z raportu „State of Ransomware in Critical Infrastructure 2024” wynika również, że przestępcy coraz częściej żądają coraz wyższych okupów. W 2024 roku jedynie 51 proc. badanych firm odzyskało dane dzięki wykorzystaniu kopii zapasowych. Z kolei 61 proc. podmiotów infrastruktury krytycznej zapłaciło okup za odzyskanie danych. To wyższy odsetek niż w 2023 i 2022 roku, kiedy żądania przestępców spełniło odpowiednio 50 i 55 proc. badanych przedsiębiorstw.
To pokazuje, że cyberprzestępcy zdają sobie sprawę, jak destrukcyjne mogą być cyberataki dla dostawców tych usług i widzą w tym okazję do zarobienia dużych pieniędzy. W 2024 roku średnia wysokość okupu płaconego przez podmioty dotknięte ransomwarem wynosiła 2,5 miliona dolarów.
55 proc. respondentów odzyskanie danych zajęło ponad miesiąc. Moim zdaniem przez większość tego czasu ofiary negocjowały z cyberprzestępcami, kupowały kryptowaluty i opóźniały odbudowywanie swoich systemów. Tymczasem odzyskanie wszystkich plików jest prawie niemożliwe, a systemy wciąż będą wymagały naprawy.
Brak wieloskładnikowego uwierzytelniania, niezaktualizowane oprogramowanie oraz gotowość do opłacenia wysokiego okupu wskazują na podatność instytucji na cyberataki i utwierdzają przestępców w przekonaniu, że jest to idealny cel kolejnego ataku. Jednocześnie nie istnieje idealny sposób, dzięki któremu ofiary mogą ,,wykupić się” z konsekwencji cyberataku.
Zdaniem eksperta najlepszym rozwiązaniem dla podmiotów dotkniętych ransomware jest odmowa opłacenia okupu i niezwłoczne rozpoczęcie procesu odzyskiwania danych z własnej kopii zapasowej oraz przywrócenie do sprawności zaatakowanego oprogramowania i urządzeń.
Cyberprzestępcy atakują też kopie zapasowe
Jedną z metod szybkiego odzyskania danych, które zostały zaszyfrowane lub zniszczone w wyniku cyberataku, jest korzystanie z kopii zapasowych. Jednak, jak wykazało badanie Sophos, napastnicy chętnie atakują także środowiska backupu.
98 proc. podmiotów energetycznych, naftowo-gazowych i użyteczności publicznej dotkniętych oprogramowaniem ransomware w 2024 roku stwierdziło, że cyberprzestępcy próbowali naruszyć ich kopie zapasowe podczas ataku. Cztery na pięć (79 proc.) takich prób zakończyło się sukcesem, co jest najwyższym wskaźnikiem udanych ataków na kopie zapasowe we wszystkich badanych branżach.
Tegoroczne wyniki z branży infrastruktury krytycznej pokazują wyraźną zmianę w porównaniu z poprzednimi dwoma latami, kiedy cieszyła się ona imponującymi wskaźnikami wykorzystania kopii zapasowych, oscylującymi w granicach 70-77 proc. W 2024 roku z backupu skorzystało jedynie 51 proc. badanych podmiotów.
Co mogą zrobić instytucje infrastruktury krytycznej, żeby uchronić się przed atakami?
W 83 proc. firm atak ransomware był konsekwencją phishingu, kradzieży danych uwierzytelniających albo luk w zabezpieczeniach systemów. Aby tego uniknąć, w pierwszym kroku należy zadbać o wieloskładnikowe uwierzytelnianie i aktualizację oprogramowania systemów. To środki zaradcze, które nie generują dodatkowych albo wysokich kosztów. Jeśli firma zostanie zaatakowana, nie należy płacić okupu cyberprzestępcom. Nie gwarantuje to odzyskania dostępu do danych, a może wiązać się z ogromnymi kosztami. Ponadto, skradzione przez cyberprzestępców dane mogą trafić do dark webu, a zapłacenie okupu ich z niego nie usunie – dodaje ekspert.
O raporcie
Dane z raportu „State of Ransomware in Critical Infrastracture 2024” pochodzą z badania przeprowadzonego w okresie od stycznia do lutego 2024 r. wśród 5 tys. liderów cyberbezpieczeństwa, w tym 275 z branży energetycznej, naftowej/gazowej i użyteczności publicznej. Respondenci pochodzili z 14 krajów z obu Ameryk, Europy, Azji i rejonu Pacyfiku. Badane firmy zatrudniały od 100 do 5 tys. pracowników, a ich roczne przychody wahały się od mniej niż 10 milionów dolarów do ponad 5 miliardów dolarów.
