A váltságdíjat megfizető szervezetek átlagosan 2 millió dollárt fizettek támadóiknak, ami a tavalyi jelentésben szereplő 400 ezer dollárhoz képest 500 százalékos növekedésnek felel meg. A zsarolóvírus támadások áldozatai ráadásul a helyreállítás ugyancsak tetemes költségével is szembesülnek, amelynek átlaga már 2,73 millió dollárra rúg - közel 1 millióval emelkedett a 2023-as felmérés szerinti 1,82 millió dollárhoz képest.
Legújabb éves jelentéséhez (State of Ransomware 2024) a Sophos ötezer kiberbiztonsági és informatikai vezető körében készített szállítófüggetlen felmérést az év elején az amerikai, az európai, közel-keleti és afrikai, valamint az ázsiai és csendes-óceáni régió összesen 14 országában. A megkérdezett vállalatok alkalmazotti létszáma 100 és 5 ezer fő, éves árbevételük pedig 10 millió és 5 milliárd dollár közötti.
A szárnyaló váltságdíjak ellenére az idei felmérésben részt vevő szervezetek 59 százalékát érte zsarolóvírus támadás, ami a 2023-as jelentésben szereplő 66 százalékhoz viszonyítva enyhe csökkenést mutat. Továbbra is érvényes, hogy a kiberbűnözők a nagyobb árbevételű szervezetekben látnak vonzóbb célpontot, azonban a legkisebb - akár 10 millió dollár alatti árbevételű - vállalatok sincsenek biztonságban, közel felüket (47 százalékukat) érte zsarolóvírus támadás az elmúlt egy évben.
A támadások 63 százalékában a kiberbűnözők legalább 1 millió dollárt követeltek áldozataiktól, de az incidensek 30 százalékában a váltságdíj 5 millió dollárnál is nagyobb volt, ami arra utal, hogy a zsarolóvírusokkal támadó szereplők nagyobb nyereségre pályáznak. Nem a legnagyobb árbevételű szervezetek az egyedüliek azonban, amelyek a váltságdíj emelkedésével szembesülnek. A felmérésben részt vevő, 50 millió dollárnál alacsonyabb árbevételű vállalatok csaknem felétől (46 százalékától) a támadók szintén hét számjegyű váltságdíjat próbáltak kizsarolni.
- Ne hagyjuk, hogy a támadások enyhén csökkenő száma a nagyobb biztonság érzetét keltse bennünk - mondta John Shier, a Sophos területi technológiai igazgatója. - A ransomware támadások ma is a legdominánsabb fenyegetésnek számítanak, és a kiberbűnözés egész gazdaságát, más típusú fenyegetések és szolgáltatások sokaságát táplálják, amelyekre maguk is támaszkodnak. A zsarolóvírus támadások égbe szökő költségeit látva a kiberbűnözők valóban elhihetik, hogy ebben a műfajban képességeiktől függetlenül mindannyian esélyhez jutnak. Míg bizonyos csoportjaik a sok millió dolláros váltságdíjak begyűjtésére utazhatnak, addig mások alacsonyabb összegekkel is beérhetik, mert támadásaik számát növelve kárpótolhatják magukat.
Az áldozatul esett szervezetek 32 százalékánál a támadók valamilyen sérülékenységet használtak ki, így már második éve ez a behatolás leggyakoribb pontja, de az azonosítókkal való visszaélés (29 százalék) és a rosszindulatú emailek küldése (23 százalék) is hasonlóan gyakori támadási irány. Az incidensek azon vállalatoknál jártak a legsúlyosabb következményekkel, amelyeknél a támadás sérülékenység kihasználásával indult - a bűnözők 75 százalékuknál a biztonsági mentést is kiiktatták, 67 százalékuk adatait pedig titkosították. Ezek a szervezetek fizették meg a váltságdíjat is a legnagyobb arányban (71 százalék), és átlagosan 3,58 millió dolláros helyreállítási költségeik is magasabbak voltak, mint más vállalatoknál.
Kihasznált sérülékenységek, ellopott azonosítók
A zsarolásnak engedő áldozatok 24 százaléka a követelt váltságdíj teljes összegét megfizette, 44 százalékuk azonban egy kicsit alkudni tudott, és az eredeti követelés átlagosan 94 százalékát fizette meg. A szervezetek valamivel több mint négyötöde (82 százaléka) a pénzt ehhez több forrásból teremtette elő. Az összes váltságdíj 40 százalékát a vállalatok házon belül szedték össze, 23 százalékát azonban a biztosítók állták.
Míg a versenyszféra ransomware támadást elszenvedő szereplőinek 90 százaléka mondta, hogy a kiberbűnözők biztonsági mentését is célba vették, ez az arány a központi és a helyi önkormányzatok körében 99 százalékra emelkedett, és az esetek 57 százalékában a támadók sikerrel jártak. Amikor a kiberbűnözők áldozataik adatait is titkosították, azokat az incidensek 32 százalékában egyúttal el is lopták. A 2023-as felmérés során megállapított 30 százalékhoz képest ez enyhe növekedés, ami jelzi, hogy a támadók zsarolóerejük növelésére törekednek.
Idén augusztusban közreadott, másik jelentésében (Turning the Screws: The Pressure Tactics of Ransomware Gangs) a Sophos szintén arra figyelmeztet, a kiberbűnözők az ellopott adatokat fegyverként használják, hogy a váltságdíj megfizetésére kisebb hajlandóságot mutató áldozataikra nagyobb nyomást gyakoroljanak. Taktikáik közé tartozik, hogy megosztják a célba vett vállalatvezetők és -tulajdonosok hozzátartozóinak érzékeny adatait, vagy azzal fenyegetőznek, hogy a jogsértő üzleti tevékenységre valló információkat eljuttatják a hatóságokhoz.
- A kibervédelem egyik központi eleme a kockázatkezelés - mondta John Shier. - A ransomware támadások leggyakrabban a sérülékenységek vagy az ellopott azonosítók kihasználásával indulnak. Mindkettő megakadályozható, mégis túl sok szervezet tesz túl keveset ennek érdekében. A vállalatoknak komolyan fel kell mérniük ilyen irányú kitettségüket, és azonnal kezelniük az azonosított problémákat. Napjainkban, amikor a kibervédelem erőforrásai is szűkösek, érdemes a kiberbűnözők számára is költségesebbé tenni az ilyen támadásokat. Ha megnehezítik hálózataik feltörését, akkor a szervezetek nagyobb hatást érhetnek el kiberbiztonsági költésükkel.
Idei ransomware jelentésében a Sophos megállapította például, hogy a kibervédelmük erősítésébe beruházó vállalatok 97 százaléka könnyebben tudott biztosítást kötni. Bő háromnegyedük (76 százalékuk) mondta, hogy ezzel támasztotta alá jogosultságát, 67 százalékuk jobb áron, 30 százalékuk pedig jobb feltételekkel jutott biztosításhoz.
A zsarolóvírus támadásokkal és más fenyegetésekkel szembeni, hatékonyabb védekezéshez a Sophos több jó gyakorlatot is a szervezetek figyelmébe ajánl. Fontos, hogy minden vállalat tisztában legyes saját kockázati profiljával. Olyan eszközök segítségével, mint a Sophos Managed Risk, ehhez felmérhetik külső támadási felületeiket, azonosíthatják a legkockázatosabb pontokat, és a prioritásoknak megfelelően testre szabott útmutatót készíthetnek a helyreállításhoz.
Tanácsos továbbá olyan végpontvédelmi megoldást bevezetniük, mint a Sophos Intercept X, amely nemcsak az örökzöld, hanem a folyamatosan változó fenyegetéseket és ransomware támadásokat is képes megállítani. A kibervédelmet érdemes a nap 24 órájában működő fenyegetésészleléssel, feltárással és válaszadással is megerősíteni, akár házon belüli csapat felállításával, akár külső Managed Detection and Response (MDR) szolgáltató támogatásával.
Ugyanilyen fontos tervet készíteni az incidensek megválaszolásához, és azt karbantartani, valamint rendszeres biztonsági mentéseket készíteni, és segítségükkel a helyreállítást is gyakorolni.
Az áldozathibáztatás alkonya
Az elmúlt évben zsarolóvírus támadás áldozatává vált szervezetek 97 százaléka kért segítséget bűnüldöző vagy más kormányzati szervektől, mutatott rá jelentésében a Sophos. Több mint felük (59 százalékuk) elég - vagy legalább valamelyest - könnyűnek találta az együttműködést. Mindössze a válaszadók 10 százaléka ítélte nagyon nehéznek a folyamatot. A vállalatok közel kétharmada a zsarolóvírusok kezeléséhez és a támadások kivizsgálásához kért tanácsot. Az adataik titkosítását elszenvedő áldozatok 58 százaléka a helyreállításhoz is segítséget kapott a hatóságoktól.
- Hagyomány szerint a vállalatok ódzkodtak a bűnüldöző szervekkel való együttműködéstől, mert attól tartottak, ha nyilvánosságra kerül, hogy támadás áldozatává váltak, az kihathat üzleti hírnevükre, és súlyosbíthatja az egyébként is rossz helyzetet - mondta Chester Wisniewski, a Sophos igazgatója és területi technológiai vezetője. - Az áldozathibáztatás hosszú időn át a zsarolóvírus támadások egyik következménye volt, de mára a biztonsági közösségen belül és kormányzati szinten egyaránt előreléptünk ezen a téren. A kiberbiztonsági események jelentését előíró, új törvények például láthatóan normalizálták a bűnüldöző szervekkel való együttműködést, és felmérésünk adatai is azt mutatják, a szervezetek helyes irányba tesznek lépéseket. Ha a közszféra és a magánszektor továbbra is közös erőfeszítéseket tesz a vállalatok megsegítésére, akkor tovább javíthatjuk gyors helyreállító és információgyűjtő képességeinket, így másokat is megvédhetünk, vagy akár a támadókat is felelősségre vonhatjuk.