Firmy muszą wzmocnić kontrolę cybernetyczną, aby przeciwdziałać pandemii ransomware

• Raport AGCS zwraca uwagę na trendy w zakresie ryzyka cybernetycznego, które przyczyniają się do wzrostu liczby incydentów ransomware, takich jak podwójne i potrójne wymuszenia oraz ataki na łańcuch dostaw.
• Przerwy w działalności i odzyskiwanie danych to główne przyczyny strat finansowych dla firm.
• Wielu atakom można by zapobiec, gdyby firmy wzmocniły swoje zabezpieczenia i kontrole cybernetyczne - często za pomocą prostych środków.

W czasie kryzysu Covid-19 w cyberprzestrzeni wybuchła kolejna epidemia: cyfrowa pandemia napędzana przez oprogramowanie ransomware. Ataki złośliwego oprogramowania, które szyfruje dane i systemy firmowe oraz żąda okupu za ich uwolnienie, są coraz częstsze na całym świecie. Rosnąca częstotliwość i dotkliwość incydentów związanych z oprogramowaniem ransomware wynika z kilku czynników: rosnącej liczby różnych schematów ataków, takich jak "podwójne" i "potrójne" kampanie wymuszania okupu; przestępczego modelu biznesowego wokół "oprogramowania ransomware jako usługi" i kryptowalut; ostatnio gwałtownie rosnących żądań okupu; oraz wzrostu liczby ataków na łańcuchy dostaw. W nowym raporcie, ubezpieczyciel cybernetyczny Allianz Global Corporate & Specialty (AGCS) analizuje najnowsze zmiany w zakresie ryzyka związanego z oprogramowaniem ransomware i nakreśla, w jaki sposób firmy mogą wzmocnić swoją obronę dzięki dobrym praktykom w zakresie higieny cybernetycznej i bezpieczeństwa IT.

Aktywność związana z cyberwłamaniami na świecie skoczyła o 125% w pierwszej połowie 2021 roku w porównaniu z rokiem poprzednim, według Accenture, przy czym operacje typu ransomware i wymuszenia są jednym z głównych czynników stojących za tym wzrostem.

Według FBI w tym samym okresie nastąpił 62% wzrost incydentów związanych z oprogramowaniem ransomware w Stanach Zjednoczonych, a następnie wzrost o 20% w całym roku 2020. Trendy związane z ryzykiem cybernetycznym znajdują odzwierciedlenie w doświadczeniach AGCS w zakresie roszczeń. AGCS był zaangażowany w ponad tysiąc roszczeń cybernetycznych ogółem w 2020 r., w porównaniu z około 80 w 2016 r.; liczba roszczeń związanych z ransomware (90) wzrosła o 50% w porównaniu z 2019 r. (60). Ogólnie rzecz biorąc, straty wynikające z zewnętrznych incydentów cybernetycznych, takich jak ransomware lub ataki typu Distributed Denial of Service (DDoS), stanowią większość wartości wszystkich roszczeń cybernetycznych analizowanych przez AGCS w ciągu ostatnich sześciu lat.

Rosnąca zależność od cyfryzacji, wzrost liczby osób pracujących zdalnie w okresie Covid-19 oraz ograniczenia budżetowe IT to tylko niektóre z powodów, dla których zwiększyła się liczba luk w zabezpieczeniach IT, oferując niezliczone punkty dostępu dla przestępców. Szersze rozpowszechnienie walut kryptograficznych, takich jak Bitcoin, które umożliwiają anonimowe płatności, to kolejny kluczowy czynnik wzrostu liczby incydentów ransomware.

W raporcie, AGCS identyfikuje pięć trendów w przestrzeni ransomware, chociaż są one stale ewoluujące i mogą się szybko zmieniać w wyścigu "kotka i myszki" pomiędzy cyberprzestępcami a firmami:

• Rozwój "ransomware jako usługi" ułatwił przestępcom przeprowadzanie ataków. Grupy hakerów, takie jak REvil i Darkside, działają jak firmy komercyjne i sprzedają lub wypożyczają innym swoje narzędzia hakerskie. Świadczą one również szereg usług pomocniczych. W rezultacie działa o wiele więcej złośliwych podmiotów stanowiących zagrożenie.
• Od pojedynczego, przez podwójne, do potrójnego wymuszenia... Taktyka "podwójnego wymuszenia" staje się coraz popularniejsza. Przestępcy łączą początkowe szyfrowanie danych lub systemów, a coraz częściej nawet ich kopii zapasowych, z wtórną formą wymuszenia, taką jak groźba ujawnienia danych wrażliwych lub osobowych. W takim scenariuszu poszkodowane firmy muszą radzić sobie z możliwością wystąpienia zarówno poważnego zakłócenia działalności, jak i naruszenia bezpieczeństwa danych, co może znacznie zwiększyć ostateczny koszt incydentu. Incydenty "potrójnego wymuszenia" mogą łączyć ataki DDoS, szyfrowanie plików i kradzież danych - i nie są wymierzone tylko w jedną firmę, ale potencjalnie również w jej klientów i partnerów biznesowych. Godnym uwagi przypadkiem była klinika psychoterapii w Finlandii - okupu zażądano od szpitala. W tym samym czasie żądano również mniejszych kwot od pacjentów w zamian za nieujawnianie ich danych osobowych.
• Ataki na łańcuch dostaw to kolejna wielka rzecz: Istnieją dwa główne rodzaje ataków - te, które wymierzone są w dostawców oprogramowania/usług IT i wykorzystują ich do rozprzestrzeniania złośliwego oprogramowania (na przykład ataki Kaseya lub Solarwinds). Albo takie, które są wymierzone w fizyczne łańcuchy dostaw lub infrastrukturę krytyczną, jak ten, który dotknął Colonial Pipeline. Dostawcy usług mogą stać się głównymi celami, ponieważ często zaopatrują setki lub tysiące firm w rozwiązania programowe, a zatem dają przestępcom szansę na większy zarobek.
• Dynamika żądań okupu: Żądania okupu gwałtownie wzrosły w ciągu ostatnich 18 miesięcy. Według Palo Alto Networks, średnie żądanie wymuszenia okupu w USA wyniosło 5,3 mln USD w pierwszej połowie 2021 r., co stanowi wzrost o 518% w stosunku do średniej z 2020 r.; najwyższe żądanie wyniosło 50 mln USD, co oznacza wzrost z 30 mln USD w poprzednim roku. Średnia kwota płacona hakerom jest około 10 razy niższa niż średnie zapotrzebowanie, ale ta ogólna tendencja wzrostowa jest alarmująca.
• Płacić czy nie płacić: Płacenie okupu to kontrowersyjny temat. Organy ścigania zazwyczaj odradzają płacenie wymuszeń, aby nie zachęcać do ataków. Nawet jeśli firma zdecyduje się zapłacić okup, szkody mogą już zostać wyrządzone. Przywrócenie systemów i umożliwienie odzyskania działalności jest ogromnym przedsięwzięciem, nawet jeśli firma posiada klucz deszyfrujący.

Koszty przerwania działalności i odtworzenia danych są największymi czynnikami powodującymi straty w cyberprzestrzeni, takie jak ataki ransomware - wynika z analizy roszczeń AGCS. Stanowią one ponad 50% wartości blisko 3 000 roszczeń cybernetycznych w branży ubezpieczeniowej o wartości około 750 mln euro (885 mln dolarów), w które firma była zaangażowana w ciągu sześciu lat.

Średni całkowity koszt odzyskania danych i przestoju - średnio 23 dni - w wyniku ataku ransomware wzrósł ponad dwukrotnie w ciągu ostatniego roku, z 761 106 USD do 1,85 mln USD w 2021 roku.

Gwałtowny wzrost liczby ataków ransomware w ostatnich latach spowodował poważne zmiany na rynku ubezpieczeń cybernetycznych. Według brokera Marsh, stawki za ubezpieczenia cybernetyczne rosną, a jednocześnie zmniejsza się pojemność. Ubezpieczyciele zwracają coraz większą uwagę na kontrole cyberbezpieczeństwa stosowane przez firmy.

"Trzy na cztery firmy nie spełniają wymogów AGCS w zakresie cyberbezpieczeństwa" - wyjaśnia Marek Stanisławski, Global Cyber Underwriting Lead w AGCS. "Firmy muszą inwestować w cyberbezpieczeństwo. Strat można uniknąć, jeśli organizacje będą przestrzegać najlepszych praktyk. Dom z otwartymi drzwiami jest znacznie bardziej narażony na włamanie niż dom zamknięty na klucz."