Vyhráváme boj proti ransomwaru?

Ransomware se stal hlavní zbraní kyberzločinců v roce 2020. Od té doby je na předním místě globální bezpečnostní agendy a pustoší podniky, veřejné služby i jednotlivce. Organizace musely rychle přeorientovat své strategie kybernetické bezpečnosti, ochrany dat a obnovy po havárii, aby se přizpůsobily této nové pandemii. Ale mění se situace? Ransomware a kybernetická odolnost zůstávají prioritou číslo jedna pro většinu bezpečnostních týmů o tři roky později a stále se objevují nekonečné titulky vysoce postavených obětí ransomwaru. Je konec v nedohlednu? Co se od roku 2020 změnilo a co zbývá udělat pro definitivní uzavření smyčky ransomwaru?

Matoucí signály? Odpovědět na první velkou otázku není snadné. Data například naznačují, že v roce 2022 celosvětový počet ransomwarových útoků výrazně poklesl (po zdvojnásobení v roce 2021) a analýza blockchainové společnosti Chainalysis uvádí, že celková hodnota ransomwarového výkupného zaplaceného v roce 2022 také výrazně poklesne, což jsou pozitivní signály, že globální ransomware se zpomaluje.

Veeam Data Protection Trends Report 2023 a Ransomware Trends Report 2023, rozsáhlé průzkumy nestranných organizací v EMEA, Americe a APJ, však vykreslují jiný obrázek. První zpráva odhalila, že 85 % organizací utrpělo v minulém roce alespoň jeden kybernetický útok (nárůst o 9 % oproti předchozímu roku) a zpráva o ransomwaru, která se týkala výhradně společností, které byly napadeny, ukázala, že ohromujících 80 % společností zaplatilo výkupné za obnovení svých dat. Jiné průmyslové průzkumy často vykazují podobné výsledky, tak proč existuje nesoulad mezi celkovými globálními čísly a tím, co říká většina jednotlivých společností?

Zatímco konkrétní průzkumy nám mohou poskytnout cenné měřítko stavu daného regionu nebo odvětví, celková globální čísla jsou komplikovaná. Rozsah je přirozeně faktorem, ale pokud jde o ransomware, může se objevit neochota přiznat, že došlo k narušení dat, a některé pojistky v tom společnostem přímo brání. Sledování plateb také není exaktní věda, protože mnoho adres nebude v blockchainu identifikováno, a proto nebudou mít globální data. V některých regionech, jako je EMEA, zaznamenáváme větší otevřenost sdílení, pokud jde o ransomware, protože lídři uznávají, že spolupráce a sdílení informací může pomoci posunout bezpečnostní průmysl a společně vybudovat větší kapacitu obnovy.

co se změnilo?

Co se tedy změnilo? Hrozby se přirozeně neustále vyvíjejí a stávají se sofistikovanějšími. To je však pro kybernetickou bezpečnost zásadní: ochrana a odolnost se zároveň zlepšují a hra na kočku a myš pokračuje. V konkrétním případě ransomwaru jsme viděli, jak se přístup k platebním nárokům nadále mění tam a zpět. Před dvěma lety byla jedna z největších plateb ransomwaru v historii vyplacena jednoduše proto, aby „zabránila jakémukoli potenciálnímu riziku“. Od té doby se osvěta o tom, jak nedůvěryhodná, neetická nebo nevhodná je tato strategie v celém odvětví zlepšila, ale objevily se další dvě nevýhody, které značně ztížily definitivní ukončení plateb ransomwarem.

Ransomware a kybernetická odolnost zůstávají prioritou číslo jedna pro většinu bezpečnostních týmů o tři roky později a stále se objevují nekonečné titulky vysoce postavených obětí ransomwaru.

Jedním z nich je kybernetické pojištění. Toto je oblast, která se od nástupu ransomwaru dramaticky změnila a dnes zůstává velmi nestabilní. Kybernetické pojištění samozřejmě není špatné, protože poskytuje společnostem finanční odolnost proti téměř jisté hrozbě. Organizacím však také poskytl prostředky k zaplacení požadavků na ransomware. Zpráva Veeam 2023 Ransomware Trends Report zjistila, že 77 % respondentů, kteří zaplatili škody, tak učinilo z peněz z pojištění. Pokračující zvyšování pojistného může skončit zpomalením tohoto trendu, stejně jako rostoucí počet zásad, které specificky vylučují ransomware z jejich pokrytí.

Snad nejdůležitějším faktorem a důvodem, proč mají společnosti pocit, že nemají jinou možnost, než zaplatit výkupné, jsou útoky, které se stále častěji zaměřují na úložiště záloh. Nedávné zprávy ukazují, že kyberzločinci byli schopni kompromitovat úložiště záloh ve třech ze čtyř útoků. Pokud společnosti nemají jiné externí kopie těchto dat nebo jednoduše nejsou schopny je dostatečně rychle obnovit, může být pro představenstvo lákavé rozhodnout se podlehnout požadavkům. I když manažeři samozřejmě chtějí dělat správnou věc z hlediska bezpečnosti, jejich hlavní prioritou je v konečném důsledku udržet podnik v chodu.

Co zbývá udělat?

Co se musí změnit, abychom naklonili rovnováhu v boji proti ransomwaru a abychom začali vidět definitivní snížení útoků a plateb? Vše závisí na vzdělání a přípravě, zejména pro ty, kdo jsou mimo bezpečnostní a záložní týmy. To zahrnuje boření mýtů o tom, co se stane před a po útoku ransomwaru. Například k šifrování nedojde, jakmile zaměstnanec klikne na škodlivý phishingový odkaz: od narušení systému do uzamčení dat a požadování výkupného může uplynout měsíce nebo dokonce rok. Stejně tak k dešifrování nedochází, jakmile je zaplaceno výkupné, ignoruje se skutečnost, že přibližně čtvrtina společností platí výkupné a stále nejsou schopna svá data obnovit. I v těch nejlepších případech může být dešifrování a obnovení neuvěřitelně pomalé. To je součástí obchodního modelu, protože většina nabízí možnost zakoupit si další dešifrovací klíče kromě nákladů na výkupné, aby se proces urychlil.

Pochopení šelmy je prvním krokem k tomu, abyste byli připraveni a byli schopni reagovat. Plán obnovy ransomwaru by měl mít tři fáze:

1. Připravenost – naplánujte obnovu, zajistěte dostupnost spolehlivých záloh (podle pravidla alespoň 3-2-1), mějte připravené a připravené místo pro obnovu po havárii a zintenzivněte školení a cvičení, abyste zajistili, že společnost a organizace budou připravený.

2. Reakce – Po předdefinovaném a otestovaném procesu odezvy na incident vyhledejte a zajistěte narušení a skenujte zálohy, abyste se ujistili, že nejsou kontaminovány.

3. Obnova – Obnovte prostředí bez opětovného zavádění malwaru nebo kyberneticky infikovaných dat do produkčního prostředí během obnovy a zprovozněte podnik zpět.

A konečně, i když může existovat určitá nejistota ohledně stavu globálního boje proti ransomwaru, není pochyb o tom, že útoky ransomwaru zůstávají pro většinu podniků nevyhnutelné. Neznamená to, že proti těmto kyberzločincům neexistuje žádná naděje, nicméně je důležité pochopit, že pokud jsou společnosti připraveny a dobře navrhnou svou obnovu, mohou dosáhnout bodu 100% odolnosti proti ransomwaru. To neznamená, že takové útoky nebudou mít žádný obchodní dopad, ale znamená to, že je možné se rychle zotavit a říci „ne“ požadavkům ransomwaru.