Две от всеки пет компании, които плащат на рансъмуер бандите за декриптиране, така и не успяват да възстановят данните си в резултат на пробива, според проучване измежду 1000 малки и средни предприятия. Последиците се простират и доста отвъд загубените данни.
Рансъмуерът остава основна заплаха за бизнесите, като 27% от анкетираните фирми съобщават за атака през последната година. От засегнатите 80% – което включва както застраховани, така и незастраховани предприятия – са платили откуп в опит да възстановят или защитят критични данни.
Ала само 60% успешно са възстановили всички или част от данните си в резултат на това, установи „Докладът за кибер-готовност“ на Hiscox.
Анализ на друга фирма за кибер-застраховане – QBE Insurance – по-рано този месец разкри, че инцидентите с рансъмуер почти са се утроили на годишна база през първото тримесечие на 2025 г.
Проучването на CrowdStrike за състоянието на рансъмуера за 2025 г., публикувано този месец, също установи, че 93% от жертвите, плащащи откупа, са били с откраднати данни така или иначе.
Лошо криптиране
Статистиката на Hiscox за тежкото положение на жертвите на изнудванията подчертава само една от безбройните трудности, с които организациите се сблъскват, когато се опитват да се възстановят от рансъмуер атаки, казват експерти от индустрията.
„60% дял на фирмите, постигнали възстановяване, отразява няколко технически и оперативни реалности, които се срещат редовно при реагиране на инциденти“, казва Джеймс Джон, мениджър за реагиране при инциденти във фирмата за киберсигурност Bridewell.
„Първо, рансъмуер операторите се различават значително по сложност. Докато утвърдени групи като LockBit или ALPHV обикновено предоставят функционални декриптори, тъй като имат „репутация“, която трябва да поддържат, по-малките банди често използват дефектни криптиращи механизми или просто просто изчезват след получаване на плащането“, пояснява той.
Декрипторите често са бавни и ненадеждни, добавя Джон. „Мащабното декриптиране в корпоративни среди може да отнеме седмици и често се проваля при повредени файлове или сложни системи от бази данни“, обяснява той. „Съществуват случаи, в които самият процес на декриптиране причинява допълнително увреждане на данните“.
Дори когато се предоставят инструменти за декриптиране, те могат да съдържат грешки или да оставят файловете повредени или недостъпни. Много организации също така разчитат на непроверени – и потенциално уязвими – резервни копия. Нещата се влошават още повече, когато някои жертви открият, че техните бекъпи също са били криптирани като част от атаката.
„Престъпниците често използват дефектни или несъвместими инструменти за криптиране, а много фирми нямат инфраструктура за чисто възстановяване на данните, особено ако резервните копия са неравномерни или системите все още са компрометирани“, казва Дарил Флак, партньор в британския доставчик на управлявана сигурност Avella Security и съветник по киберсигурност на британското правителство.
Допълнителен натиск
Съвременните рансъмуер атаки обаче включват двойно или тройно изнудване, при което нападателите заплашват да публикуват и разгласят откраднатите данни или да стартират разпределена атака за отказ от услуга (DDoS) дори след плащането. Това коренно променя представата какво могат да очакват жертвите, избрали да платят кибер-изнудвнето.
В повечето случаи даването на откупа не успява да разреши много от проблемите, произтичащи от атаката. „Плащането се отнася само до елемента на криптиране, а не до по-широкия компрометиращ фактор“, отбелязва Джон от Bridewell. Нещо повече: възникват правни, оперативни и репутационни проблеми. Те обичайно се преплитат, често в рамките на няколко часа.
Лилиан Цанг, старши адвокат в екипа за защита на данните и поверителност на Harper James, предупреждава, че дори когато е получен ключ за декриптиране, някои данни може вече да са трайно повредени, променени или откраднати.
„Това създава оперативни предизвикателства, но също така повдига опасения за защитата на данните, особено когато става въпрос за лични данни“, обяснява Цанг. „Ако дадени записи бъдат загубени или компрометирани, това може да се счита за нарушение на личните данни съгласно GDPR и сродните регулации. А това води до задължения за докладване и регулаторен контрол“.
Плащането на откуп не дава на бизнеса никаква правна защита, ако престъпниците не изпълнят задължението си, и, още по-лошо, „плащането може да създаде допълнителен риск, ако средствата бъдат несъзнателно прехвърлени на санкционирана група“, предупреждава Цанг.
Устойчивост и правни въпроси
Макар че има възможности за кибер-застраховане, предвидени точно за случаите на рансъмуер, не всичко е толкова лесно, колкото звучи. Предприятията се нуждаят от финансов, както и от оперативен план, за да се възстановят успешно от атака, казва Хисахиро Тацуджо , президентът на Kantsu – средно голяма японска логистична компания, пострадала от изнудване.
Kantsu — която не е платила за атака с рансъмуер — е била задължена да поиска от финансовите институции заеми, за да покрие разходите за възстановяване на дейността си, защото, въпреки че е била застрахована, застрахователната ѝ компания е трябвало да премине през процес на предявяване на искове, преди да извърши изплащане.
Освен това, когато ИТ системите са „пробити“, правните задължения влизат в сила почти веднага с изисквания за уведомяване на регулаторните органи и засегнатите лица, особено ако има засегнати лични данни.
„Едно от най-големите предизвикателства е вземането на бързи, високозаложени решения само с фрагменти от информация“, казва Цанг от Harper James. „Висшите ръководители трябва да преценят правните рискове от плащането, въздействието върху непрекъснатостта на бизнеса и потенциалните последици за лицата, често с ограничена техническа яснота“.
