Възстановяването от кибератака с рансъмуер може да отнеме години, казват специалистите
(снимка: CC0 Public Domain)
Средните разходи за възстановяване от рансъмуер са се увеличили от 1,16 милиона на 2,34 милиона щатски долара, тоест повече от два пъти за една година. Това сочи нов доклад на Sophos под заглавие „Състояние на рансъмуер атаките 2021”, който обхваща Азиатско-Тихоокеанския регион и Япония (АТЯ), но изводите са интересни за организациите по цял свят.
Докладът установява, че средният размер на откуп, платен от организации в АТЯ, е 123 634 щатски долара. 3,2 милиона щатски долара е най-високата сума, изплатена от засегната организация за откуп, в световен мащаб. Въпреки това най-масовият размер на исканото плащане е 10 000 долара.
Констатациите показват още, че само 5% от организациите са успели да получат обратно всичките си данни, след като са си платили откупа. Около 19% от засегнатите са получили обратно не повече от половината от данните си. Делът на организациите, които са се съгласили да си платят откупа, остава същият като миналата година: 39%.
Броят на организациите в АТЯ, които са претърпели атака с рансъмуер, е спаднал: от 53% от анкетираните през 2020 г. до 39% през 2021 г. Освен това се забелязва, че по-малко организации са претърпели криптиране на данните в резултат на „значителна атака” (68% през 2021 в сравнение с 81% през 2020 г.).
Проучването също така показва, че фирмите все повече търсят външна помощ. Всъщност около две трети (65%) от респондентите смятат, че кибер-атаките вече са твърде усъвършенствани, за да може техният собствен ИТ екип да се справи самостоятелно.
Трябва да е ясно, че възстановяването от атака с рансъмуер може да отнеме години и представлява нещо много повече от дешифриране и възстановяване на данните, предупреждава главният изследовател на Sophos Честър Вишньевски, цитиран от Security Brief. Той казва, че цели системи трябва да бъдат преустроени или изградени от нулата. Наред с това трябва да се вземат предвид оперативният престой, както и въздействието на клиентите – и много повече.
От друга страна, дефиницията на това какво точно представлява рансъмуер атака е в процес на развитие. Вишньевски казва, че сега е по-важно от всякога да се предпазим от противниците още докато са „на вратата”, тоест преди да получат шанс да проникнат и да разгърнат своите все по-сложни и многопластови атаки.
„Очевидният спад в броя на организациите, засегнати от рансъмуер, е добра новина, но не бива да се подценява фактът, че това вероятно ще доведе, поне отчасти, до промени в поведението на нападателите”, предупреждава експертът.
„Видяхме, че нападателите преминават от по-мащабни, общи, автоматизирани атаки към по-целенасочени нападения, които включват хакване чрез човешките ръце върху клавиатурата”, пояснява специалистът. В резултат на това, докато общият брой на атаките е намалял, потенциалът за щети от тези по-усъвършенствани и сложни, целенасочени атаки е много по-голям.
„Много по-трудно е и възстановяването от подобни атаки и ние виждаме това отразено в проучването: налице е удвояване на общите разходи за „лечение” на последиците”, посочва Вишньевски. „Констатациите потвърждават бруталната истина, че – що се отнася до рансъмуера – да си платиш не е достатъчно. Макар че все повече организации избират да си платят откупа, то само малцина от тези, които са платили, успяват да получат обратно всичките си данни”.
Механизмите за възстановяване, нарочно или случайно, са недобре работещи, установили специалистите. Според тях, използването на т.нар. ключове за декодиране с цел възстановяване на информацията може да бъде сложно. Няма никаква гаранция за успех.
„Както видяхме наскоро с рансъмуера на DearCry и Black Kingdom, атаките стартираха с ниско качество или набързо компилиран код и техниките могат да направят възстановяването на данните трудно, ако не и невъзможно”, казва Вишньевски.
Има определени стъпки, които бизнесът може да предприеме за смекчаване на заплахите. Това, според Sophos, включва най-вече възприемането на разбирането, че рансъмуер атаката е неизбежно: не е въпросът дали, а кога. Изхождайки от това убеждение, следва да бъдат направени резервни копия и винаги да се съхранява копие офлайн.
Необходима е също многослойна защита, комбинираща човешка експертиза и „антирансъмуер” технологии. За предпочитане е откуп да не се плаща, а организациите трябва да имат план за възстановяване.