Πληροφορίες σχετικά με τις οικονομικές και λειτουργικές επιπτώσεις της παραβίασης των αντιγράφων ασφαλείας σε μια επίθεση ransomware.
Υπάρχουν δύο βασικοί τρόποι ανάκτησης κρυπτογραφημένων δεδομένων σε μια επίθεση ransomware: αποκατάσταση από αντίγραφα ασφαλείας και καταβολή λύτρων. Η διακύβευση ή παραβίαση των αντιγράφων ασφαλείας ενός οργανισμού επιτρέπει στους αντιπάλους να στερήσουν ή να περιορίσουν (σε σημαντικό βαθμό) τη δυνατότητα του θύματός τους να ανακτήσει κρυπτογραφημένα δεδομένα όπως και να αυξήσουν την πίεση για την καταβολή των λύτρων.
Η παρούσα ανάλυση διερευνά τον αντίκτυπο της παραβίασης των αντιγράφων ασφαλείας στα επιχειρηματικά και λειτουργικά αποτελέσματα μιας επίθεσης ransomware. Η μελέτη εξετάζει επίσης τη συχνότητα που συναντούμε επιτυχημένες παραβιάσεις αντιγράφων ασφαλείας σε διαφορετικούς βιομηχανικούς κλάδους.
Τα ευρήματα βασίζονται σε μία έρευνα/μελέτη που ανατέθηκε από την Sophos σε μία ανεξάρτητη εταιρεία και στην οποία συμμετείχαν 2.974 επαγγελματίες πληροφορικής/ κυβερνοασφάλειας, των οποίων οι οργανισμοί είχαν πληγεί από ransomware τον τελευταίο χρόνο. Η έρευνα διεξήχθη από την ανεξάρτητη εταιρεία ερευνών Vanson Bourne στις αρχές του 2024 και αντικατοπτρίζει τις εμπειρίες των ερωτηθέντων κατά τους προηγούμενους 12 μήνες.
Επισκόπηση
Η ανάλυση καθιστά σαφές ότι οι οικονομικές και επιχειρηματικές επιπτώσεις της παραβίασης των αντιγράφων ασφαλείας σε μια επίθεση ransomware είναι τεράστιες. Όταν οι επιτιθέμενοι λοιπόν καταφέρνουν να θέσουν σε κίνδυνο τα αντίγραφα ασφαλείας, όχι μόνο ένας οργανισμός έχει σχεδόν διπλάσιες πιθανότητες να πληρώσει τα λύτρα αλλά διαπιστώνεται ότι ο συνολικός λογαριασμός αποκατάστασης επιβαρύνεται οκτώ φορές περισσότερο από ότι εκείνων των εταιρειών των οποίων τα αντίγραφα ασφαλείας δεν επηρεάστηκαν.
Ο εντοπισμός και ο τερματισμός των κακόβουλων παραγόντων πριν από την παραβίαση των αντιγράφων ασφαλείας, σας επιτρέπει να μειώσετε σημαντικά τις επιπτώσεις της επίθεσης ransomware στον οργανισμό σας. Η επένδυση στην πρόληψη της παραβίασης των αντιγράφων ασφαλείας αφενός αυξάνει την ανθεκτικότητα σας στις επιθέσεις ransomware και αφετέρου μειώνει το συνολικό κόστος ιδιοκτησίας (TCO) λύσεων/ εργαλείων κυβερνοασφαλείας.
Κατεβάστε την έκθεση σε αρχείο PDF
Μάθημα 1ο: Οι δράστες που βρίσκονται πίσω από επιθέσεις ransomware σχεδόν πάντα προσπαθούν να θέσουν σε κίνδυνο τα αντίγραφα ασφαλείας σας
Το 94% των οργανισμών που χτυπήθηκαν από ransomware το περασμένο έτος δήλωσαν ότι οι κυβερνοεγκληματίες επιχείρησαν να θέσουν σε κίνδυνο τα αντίγραφα ασφαλείας τους κατά τη διάρκεια της επίθεσης. Το ποσοστό αυτό αυξήθηκε στο 99% τόσο στην πολιτειακή και τοπική αυτοδιοίκηση όσο και στον τομέα των μέσων ενημέρωσης, της αναψυχής και της ψυχαγωγίας. Το χαμηλότερο ποσοστό αποπειρών παραβίασης αναφέρθηκε από τον τομέα διανομής και μεταφορών, ωστόσο ακόμη και σε αυτόν, περισσότεροι από οκτώ στους δέκα (82%) οργανισμούς που επλήγησαν από ransomware δήλωσαν ότι οι επιτιθέμενοι προσπάθησαν να αποκτήσουν πρόσβαση στα αντίγραφα ασφαλείας τους.
Μάθημα 2ο: Το ποσοστό επιτυχίας συμβιβασμού αντιγράφων ασφαλείας διαφέρει σημαντικά ανά κλάδο
Σε όλους τους κλάδους, το 57% των αποπειρών παραβίασης αντιγράφων ασφαλείας αποδείχτηκαν επιτυχείς, πράγμα που σημαίνει ότι οι αντίπαλοι ήταν σε θέση να επηρεάσουν τις διαδικασίες αποκατάστασης από το ransomware σε περισσότερα από τα μισά από τα θύματά τους. Ιδιαίτερα ενδιαφέρον έχει το γεγονός ότι διαπιστώθηκαν σημαντικές διαφορές στα ποσοστά επιτυχίας των αντιπάλων ανά κλάδο:
- Οι επιτιθέμενοι ήταν πιο πιθανό να παραβιάσουν επιτυχώς τα αντίγραφα ασφαλείας των θυμάτων τους στους τομείς της ενέργειας, του πετρελαίου/αερίου και των υπηρεσιών κοινής ωφέλειας (79% ποσοστό επιτυχίας) καθώς και της εκπαίδευσης (71% ποσοστό επιτυχίας).
- Αντίθετα, τα χαμηλότερα ποσοστά επιτυχούς παραβίασης αντιγράφων ασφαλείας αναφέρθηκαν στους τομείς της πληροφορικής, της τεχνολογίας και των τηλεπικοινωνιών (30% ποσοστό επιτυχίας) καθώς και στον τομέα του λιανικού εμπορίου (47% ποσοστό επιτυχίας).
Πίσω από τα διαφορετικά ποσοστά επιτυχίας υπάρχουν διάφοροι πιθανοί λόγοι. Στην περίπτωση των οργανισμών από τον κλάδο της πληροφορικής, των τηλεπικοινωνιών και της τεχνολογίας, το χαμηλό ποσοστό επιτυχίας ενδέχεται να οφείλεται στο γεγονός ότι είχαν εξαρχής ισχυρότερη εφεδρική προστασία και έτσι ήταν σε θέση να αντισταθούν καλύτερα στην επίθεση. Μπορεί επίσης να ήταν αποτελεσματικότεροι στον εντοπισμό και στην αναχαίτιση της απόπειρας παραβίασης. Αντιθέτως, οι οργανισμοί από τον κλάδο της ενέργειας, του πετρελαίου/αερίου και των υπηρεσιών κοινής ωφέλειας ενδέχεται να βρέθηκαν αντιμέτωποι με υψηλότερο ποσοστό ιδιαίτερα προηγμένων επιθέσεων. Όποιοι και αν ήταν οι λόγοι, ο αντίκτυπος ενδέχεται να είναι σημαντικός.
Μάθημα 3ο: Οι απαιτήσεις και οι πληρωμές λύτρων διπλασιάζονται όταν παραβιάζονται τα αντίγραφα ασφαλείας
Κρυπτογράφηση δεδομένων
Οι οργανισμοί των οποίων τα αντίγραφα ασφαλείας παραβιάστηκαν ήταν 63% πιθανότερο να τα δουν να κρυπτογραφούνται σε σχέση με εκείνους των οποίων τα αντίγραφα ασφαλείας δεν παραβιάστηκαν: το 85% των εκπροσώπων οργανισμών με παραβιασμένα αντίγραφα ασφαλείας δήλωσε ότι οι επιτιθέμενοι ήταν σε θέση να κρυπτογραφήσουν τα δεδομένα τους ενώ το ποσοστό των οργανισμών των οποίων τα αντίγραφα ασφαλείας δεν επηρεάστηκαν ήταν 52%. Το υψηλότερο ποσοστό κρυπτογράφησης μπορεί να είναι ενδεικτικό της συνολικά ασθενέστερης ανθεκτικότητας των οργανισμών στον κυβερνοχώρο, γεγονός που αφήνει τους οργανισμούς ευάλωτους και λιγότερο ικανούς να αμυνθούν σε όλα τα στάδια μίας επίθεσης ransomware.
Απαίτηση πληρωμής λύτρων
Τα θύματα των οποίων τα αντίγραφα ασφαλείας παραβιάστηκαν έλαβαν απαιτήσεις λύτρων που ήταν, κατά μέσο όρο, υπερδιπλάσιες από εκείνες των οποίων τα αντίγραφα ασφαλείας δεν είχαν επηρεαστεί, με τις μέσες απαιτήσεις λύτρων να ανέρχονται σε $2,3 εκατομμύρια (αντίγραφα ασφαλείας που είχαν παραβιαστεί) και $1 εκατομμύριο (αντίγραφα ασφαλείας που δεν είχαν παραβιαστεί) αντίστοιχα. Από ότι φαίνεται, οι αντίπαλοι αισθάνονται ότι ενισχύεται περισσότερο η θέση ισχύος που κατέχουν αν παραβιάσουν και τα αντίγραφα ασφαλείας, καθώς έτσι μπορούν να απαιτήσουν ακόμα περισσότερα λύτρα.
Ποσοστό πληρωμής λύτρων
Οι οργανισμοί των οποίων τα αντίγραφα ασφαλείας παραβιάστηκαν ήταν σχεδόν δύο φορές πιο πιθανό να πληρώσουν τα λύτρα για την ανάκτηση κρυπτογραφημένων δεδομένων από εκείνους των οποίων τα αντίγραφα ασφαλείας δεν επηρεάστηκαν από την επίθεση (ποσοστό 67% έναντι 36%).
Ποσό πληρωμής λύτρων
Η μέση πληρωμή λύτρων από οργανισμούς που διαπίστωσαν ότι τα αντίγραφα ασφαλείας τους είχαν παραβιαστεί ήταν $2 εκατομμύρια, σχεδόν διπλάσια από εκείνη των οργανισμών των οποίων τα αντίγραφα ασφαλείας παρέμειναν άθικτα ($1,062 εκατομμύρια). Η διαπραγματευτική τους ικανότητα επίσης όσον αφορά την καταβολή των λύτρων ήταν μικρότερη σε σύγκριση με εκείνους των οποίων τα αντίγραφα ασφαλείας δεν είχαν επηρεαστεί, πληρώνοντας κατά μέσο όρο το 98% του ποσού που ζητήθηκε. Από την άλλη, όσοι οργανισμοί είχαν άθικτα αντίγραφα ασφαλείας είχαν μεγαλύτερη διαπραγματευτική ισχύ και κατάφεραν να μειώσουν την πληρωμή στο 82% της απαιτούμενης.
Μάθημα 4ο: Το κόστος ανάκτησης του Ransomware είναι 8X υψηλότερο όταν παραβιάζονται τα αντίγραφα ασφαλείας
Δεν καταλήγουν όλες οι επιθέσεις ransomware σε καταβολή λύτρων. Ακόμα και όταν αυτό συμβαίνει, οι πληρωμές αποτελούν απλώς μέρος του συνολικού κόστους ανάκτησης κατά την αντιμετώπιση μιας επίθεσης ransomware. Οι διακοπές λειτουργίας που οφείλονται σε ransomware έχουν συχνά σημαντικές επιπτώσεις στις καθημερινές επιχειρηματικές συναλλαγές, ενώ το έργο της αποκατάστασης των συστημάτων πληροφορικής είναι συχνά πολύπλοκο και δαπανηρό.
Το μέσο συνολικό κόστος αποκατάστασης από το ransomware για τους οργανισμούς που διαπίστωσαν ότι είχαν παραβιασμένα αντίγραφα ασφαλείας ($3 εκατομμύρια) ήταν οκτώ φορές υψηλότερο από εκείνο των οργανισμών των οποίων τα αντίγραφα ασφαλείας δεν επηρεάστηκαν ($375 χιλιάδες). Ενδεχομένως να υπάρχουν πολλοί και διάφοροι λόγοι πίσω από αυτή τη σημαντική διαφορά, και όχι απλώς το πρόσθετο έργο που συνήθως απαιτείται για την αποκατάσταση από αποκρυπτογραφημένα δεδομένα αντί για καλά προετοιμασμένα αντίγραφα ασφαλείας. Η ασθενέστερη προστασία των αντιγράφων ασφαλείας ενδέχεται να είναι ενδεικτική μίας λιγότερο ισχυρής άμυνας και μίας μεγαλύτερης σε απαιτήσεις επακόλουθης εργασίας αναδημιουργίας.
Οι εκπρόσωποι των οργανισμών των οποίων τα εφεδρικά αντίγραφα ασφαλείας παραβιάστηκαν δήλωσαν επίσης ότι ο χρόνος αποκατάστασης ήταν σημαντικά μεγαλύτερος, καθώς μόλις το 26% κατάφερε να ανακτήσει πλήρως τα δεδομένα του εντός μιας εβδομάδας, όταν στην περίπτωση των οργανισμών των οποίων τα αντίγραφα ασφαλείας δεν επηρεάστηκαν το ποσοστό αυτό είναι 46%.
Συστάσεις
Τα αντίγραφα ασφαλείας αποτελούν βασικό μέρος μιας ολιστικής στρατηγικής μείωσης των κινδύνων στον κυβερνοχώρο. Αν τα αντίγραφα ασφαλείας σας είναι προσβάσιμα από το Διαδίκτυο, θα πρέπει να υποθέσετε ότι οι αντίπαλοι ενδέχεται να τα βρουν. Επομένως, συστήνεται στους οργανισμούς:
- Να λαμβάνουν τακτικά αντίγραφα ασφαλείας και να τα αποθηκεύουν σε πολλαπλές τοποθεσίες. Φροντίστε να προσθέσετε MFA (έλεγχο ταυτότητας πολλαπλών παραγόντων) στους λογαριασμούς αντιγράφων ασφαλείας στο cloud, ώστε να αποτρέψετε τους επιτιθέμενους από το να αποκτήσουν πρόσβαση σε αυτά.
- Να εξασκούνται στην ανάκτηση από τα αντίγραφα ασφαλείας. Όσο πιο άνετα χειρίζεστε τη διαδικασία αποκατάστασης, τόσο πιο γρήγορη και εύκολη θα είναι η ανάκαμψη του οργανισμού σας από μια επίθεση.
- Ασφαλίστε τα αντίγραφα ασφαλείας σας. Παρακολουθήστε για ύποπτη δραστηριότητα γύρω από τα αντίγραφα ασφαλείας σας και ανταποκριθείτε σε αυτήν, καθώς μπορεί να αποτελεί ένδειξη ότι οι αντίπαλοι αποπειρώνται να τα παραβιάσουν.
Πως μπορεί να βοηθήσει η Sophos
Sophos MDR: Πάνω από 500 ειδικοί παρακολουθούν και υπερασπίζονται τον οργανισμό σας
Η Sophos MDR είναι μια διαχειριζόμενη 24/7 υπηρεσία εντοπισμού και απόκρισης, η οποία ειδικεύεται στην αναχαίτιση προηγμένων επιθέσεων που από μόνη της η τεχνολογία δεν μπορεί να αποτρέψει. Επεκτείνει την ομάδα πληροφορικής/ασφάλειας σας με περισσότερους από 500 ειδικούς που παρακολουθούν το περιβάλλον σας, ανιχνεύουν, διερευνούν και ανταποκρίνονται σε ύποπτες δραστηριότητες και ειδοποιήσεις.
Οι αναλυτές της Sophos MDR αξιοποιούν την τηλεμετρία από τα εργαλεία ασφαλείας που ήδη χρησιμοποιείτε – συμπεριλαμβανομένης της λύσης δημιουργίας αντιγράφων ασφαλείας και ανάκτησης – για να εντοπίζουν και να εξουδετερώνουν τις επιθέσεις προτού προκαλέσουν ζημιά. Με μέσο χρόνο απόκρισης σε απειλές μόλις 38 λεπτά, η υπηρεσία Sophos MDR λειτουργεί ταχύτερα από την επόμενη απειλή σας.
Sophos XDR: Παρέχοντας τη δυνατότητα στις ομάδες IT να ανιχνεύουν και να ανταποκρίνονται σε επιθέσεις
Οι εσωτερικές ομάδες μπορούν να χρησιμοποιήσουν το Sophos XDR για να αποκτήσουν την ορατότητα, τις γνώσεις και τα εργαλεία που χρειάζονται για να ανιχνεύουν, να διερευνούν και να ανταποκρίνονται σε απειλές πολλαπλών σταδίων, σε όλους τους βασικούς φορείς επιθέσεων, στο συντομότερο δυνατό χρόνο. Με το Sophos XDR μπορείτε να αξιοποιήσετε την τηλεμετρία από τη λύση αντιγράφων ασφαλείας και ανάκτησης, καθώς και άλλες λύσεις από την ευρύτερη στοίβα ασφαλείας σας, για να βλέπετε και να ανταποκρίνεστε ταχύτερα σε επιθέσεις.
Πηγή: Sophos