Ιδιαίτερα ενδιαφέροντα είναι τα νέα στοιχεία που φέρνει στη δημοσιότητα η Check Point Research (CPR) μοιράζεται νέες πληροφορίες για τα προγράμματα ransomware και τις επιπτώσεις τους, μετά από περαιτέρω ανάλυση των διαρροών της ομάδας Conti και των διαφορετικών συνόλων δεδομένων που σχετίζονται με θύματα ransomware.
Σύμφωνα με αυτά τα στοιχεία, τα λύτρα είναι ένα μικρό μέρος του πραγματικού κόστους που στοιχίζει στο θύμα μια επίθεση ransomware, καθώς η CPR εκτιμά ότι το συνολικό κόστος είναι 7 φορές υψηλότερο. Οι εγκληματίες του κυβερνοχώρου απαιτούν ένα ποσό που αντιστοιχεί στα ετήσια έσοδα του θύματος, που κυμαίνεται μεταξύ 0,7% και 5%. Η διάρκεια μιας επίθεσης ransomware μειώθηκε σημαντικά το 2021, από τις 15 ημέρες στις 9. Η CPR παρατήρησε επίσης πως οι ομάδες ransomware έχουν σαφείς βασικούς κανόνες για επιτυχή διαπραγμάτευση με τα θύματα, που επηρεάζουν τη διαδικασία και τη δυναμική της διαπραγμάτευσης.
Ειδικότερα, η Check Point Research ανέλυσε δύο σύνολα δεδομένων για να αποκτήσει νέες πληροφορίες για τα ransomware, εκτιμώντας ότι το παράπλευρο κόστος του ransomware για τα θύματα είναι 7 φορές μεγαλύτερο από τα λύτρα που καταβάλλονται. Το πρώτο σύνολο δεδομένων ήταν η βάση δεδομένων περιστατικών στον κυβερνοχώρο του Kovrr, η οποία περιέχει τις νεότερες πληροφορίες σχετικά με τα κυβερνο συμβάντα και τις οικονομικές τους επιπτώσεις. Το δεύτερο σύνολο δεδομένων που χρησιμοποιήθηκε ήταν οι διαρροές της ομάδας Conti. Η έρευνα της CPR είχε στόχο να διερευνήσει και τις δύο πλευρές μιας επίθεσης ransomware: τόσο τα θύματα όσο και τους εγκληματίες στον κυβερνοχώρο.
Τα βασικά ευρήματα
- Παράπλευρο κόστος. Τα λύτρα είναι ένα μικρό στοιχείο του κόστους που πληρώνει το θύμα μιας επίθεσης ransomware. Η CPR εκτιμά ότι το συνολικό κόστος της επίθεσης είναι 7 φορές υψηλότερο από αυτό που το θύμα πληρώνει στους κυβερνοεγκληματίες και αφορά σε έξοδα απόκρισης και αποκατάστασης, δικαστικές αμοιβές και έξοδα παρακολούθησης.
- Τελικό σύνολο. Το τελικό ποσό λύτρων εξαρτάται από τα ετήσια έσοδα του θύματος και κυμαίνεται μεταξύ του 0,7% και του 5% αυτών. Ενώ όσο υψηλότερα είναι τα ετήσια έσοδα του θύματος, τόσο χαμηλότερο είναι το ποσοστό των εσόδων που θα ζητηθούν, καθώς αυτό το ποσοστό αντιπροσωπεύει υψηλότερη αριθμητική αξία σε δολάρια.
- Διάρκεια της επίθεσης. Η διάρκεια μιας επίθεσης ransomware μειώθηκε σημαντικά το 2021, από 15 ημέρες σε 9.
- Βασικοί κανόνες διαπραγμάτευσης. Οι ομάδες ransomware έχουν σαφείς βασικούς κανόνες (ακολούθως) για την επιτυχή διαπραγμάτευση με τα θύματα τους, που επηρεάζουν τόσο τη διαδικασία όσο και τη δυναμική της διαπραγμάτευσης:
-
- Ακριβής εκτίμηση της οικονομικής κατάστασης του θύματος
- Ποιότητα των δεδομένων που διηθήθηκαν από το θύμα
- Η φήμη της ομάδας ransomware
- Η ύπαρξη κυβερνοασφάλισης
- Η προσέγγιση και τα συμφέροντα των διαπραγματευτών των θυμάτων
Το ransomware μέσα από τα νούμερα
Σύμφωνα με τη CPR, για το πρώτο τρίμηνο του 2022:
- Σε παγκόσμιο επίπεδο, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 53 – αύξηση 24% σε ετήσια βάση (1 στους 66 οργανισμούς το 1ο τρίμηνο του 2021).
- Στην EMEA, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 45 – αύξηση 37% ετησίως (1 στους 62 οργανισμούς το 1ο τρίμηνο του 2021).
- Στην APAC, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 44 – αύξηση 37% ετησίως (1 στους 60 οργανισμούς το 1ο τρίμηνο του 2021).
- Στην Αφρική, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 44 – αύξηση 23% σε ετήσια βάση (1 στους 54 οργανισμούς το 1ο τρίμηνο του 2021).
- Στην ANZ, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 88 – αύξηση 81% σε ετήσια βάση (1 στους 160 οργανισμούς το 1ο τρίμηνο του 2021)
- Στην Ασία, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 24 – αύξηση 54% σε ετήσια βάση (1 στους 37 οργανισμούς το 1ο τρίμηνο του 2021).
- Στην Ευρώπη, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 68 – αύξηση 16% ετησίως (1 στους 80 οργανισμούς το 1ο τρίμηνο του 2021).
- Στη Βόρεια Αμερική, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 120 – καμία αλλαγή ετησίως.
- Στη Λατινική Αμερική, ο εβδομαδιαίος μέσος όρος των επηρεαζόμενων οργανισμών είναι 1 στους 52 – μια αύξηση 25% σε ετήσια βάση (1 στους 64 οργανισμούς το 1ο τρίμηνο του 2021).
Πώς να προστατευτείτε από το ransomware
Οι βασικές συμβουλές της CPR για την προστασία από επιθέσεις προγραμμάτων ransomware είναι οι εξής:
- Ισχυρό αντίγραφο ασφαλείας δεδομένων. Ο στόχος του ransomware είναι να αναγκάσει το θύμα να πληρώσει λύτρα προκειμένου να επαναποκτήσει πρόσβαση στα κρυπτογραφημένα δεδομένα του. Ωστόσο, αυτό είναι αποτελεσματικό μόνο εάν ο στόχος χάσει πραγματικά την πρόσβαση στα δεδομένα του. Μια ισχυρή, ασφαλής λύση δημιουργίας αντιγράφων ασφαλείας δεδομένων είναι ένας αποτελεσματικός τρόπος για να μετριαστεί ο αντίκτυπος μιας επίθεσης ransomware.
- Εκπαίδευση ευαισθητοποίηση στον κυβερνοχώρο. Τα μηνύματα ηλεκτρονικού ψαρέματος είναι ένας από τους πιο δημοφιλείς τρόπους διάδοσης κακόβουλου λογισμικού λύτρων. Παραπλανώντας έναν χρήστη να κάνει κλικ σε έναν σύνδεσμο ή να ανοίξει ένα κακόβουλο συνημμένο, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή του υπαλλήλου και να ξεκινήσουν τη διαδικασία εγκατάστασης και εκτέλεσης του προγράμματος ransomware σε αυτόν. Η συχνή εκπαίδευση ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο είναι ζωτικής σημασίας για την προστασία του οργανισμού από ransomware.
- Ισχυρός, ασφαλής έλεγχος ταυτότητας χρήστη. Η επιβολή μιας ισχυρής πολιτικής κωδικών πρόσβασης, η απαίτηση της χρήσης ελέγχου ταυτότητας πολλαπλών παραγόντων και η εκπαίδευση των εργαζομένων σχετικά με επιθέσεις phishing που έχουν σχεδιαστεί για την κλοπή διαπιστευτηρίων σύνδεσης είναι όλα κρίσιμα στοιχεία της στρατηγικής ασφάλειας στον κυβερνοχώρο ενός οργανισμού.
- Ενημερωμένες εκδόσεις κώδικα. Η διατήρηση ενημερωμένων υπολογιστών και η εφαρμογή ενημερώσεων κώδικα ασφαλείας, ειδικά εκείνων που χαρακτηρίζονται ως κρίσιμες, μπορεί να συμβάλει στον περιορισμό της ευπάθειας ενός οργανισμού σε επιθέσεις ransomware.