Αν και το 97% των οργανισμών που πλήττονται από το ransomware αναφέρουν την επίθεση, το επίπεδο εμπλοκής των αρχών επιβολής του νόμου ή/και των επίσημων φορέων διαφέρει σημαντικά ανά χώρα.
Στα πρώτα χρόνια του ransomware, πολλά (αν όχι τα περισσότερα) θύματα δίσταζαν να παραδεχτούν δημοσίως ότι είχαν πληγεί από φόβο μήπως επιδεινωθεί ο αντίκτυπος της επίθεσης σε όλους τους τομείς επιχείρηση. Οι ανησυχίες για αρνητική αντιμετώπιση από τον Τύπο και ο φόβος της απώλειας πελατών ήταν οι βασικότεροι λόγοι που οδηγούσαν πολλούς οργανισμούς να σιωπούν.
Τον τελευταίο καιρό ωστόσο η κατάσταση φαίνεται να έχει αλλάξει με τα θύματα ransomware να είναι όλο και πιο πρόθυμα να αναγνωρίσουν και να κάνουν γνωστή μία επίθεση. Αυτή η εξέλιξη ενδέχεται να οφείλεται εν μέρει στην «κανονικοποίηση» του ransomware – οι (εντελώς ανώνυμες) εκθέσεις μας State of Ransomware έχουν αποκαλύψει ποσοστά επιθέσεων άνω του 50% τα τελευταία τρία χρόνια και η δημόσια αναγνώριση μιας επίθεσης από γνωστές μάρκες είναι πλέον συνηθισμένο φαινόμενο. Με λίγα λόγια, το να χτυπηθείς πλέον από ransomware δεν θεωρείται αυτομάτως παράσημο ντροπής.
Η υποχρεωτική αναφορά επιθέσεων σε πολλές δικαιοδοσίες είναι επίσης πιθανό να οδήγησε σε μεγαλύτερα ποσοστά αποκάλυψης, ιδίως στον δημόσιο τομέα, ο οποίος φαίνεται να επηρεάζεται περισσότερο από τους συγκεκριμένους κανονισμούς και απαιτήσεις.
Αν και υπήρχε μία γενικότερη αίσθηση ότι οι αναφορές -για χτυπήματα ransomware- είχαν αυξηθεί, λεπτομερείς πληροφορίες και συγκρίσεις από περιφέρεια σε περιφέρεια ήταν δύσκολο να βρεθούν -μέχρι σήμερα. Η φετινή έρευνα Sophos State of Ransomware ρίχνει φως σε αυτόν τον τομέα, αποκαλύπτοντας για πρώτη φορά πως τα ποσοστά αναφοράς και τα μέτρα αντιμετώπισης από επίσημους φορείς διαφέρουν στις 14 χώρες που μελετήθηκαν.
Η καταγγελία μιας επίθεσης ransomware είναι κέρδος για όλους
Η φύση και η διαθεσιμότητα της επίσημης υποστήριξης κατά την αντιμετώπιση μιας επίθεσης ransomware διαφέρουν από χώρα σε χώρα, όπως και τα εργαλεία για την αναφορά μιας κυβερνοεπίθεσης. Τα θύματα στις ΗΠΑ μπορούν να αξιοποιήσουν τον Υπηρεσία Ασφάλειας Υποδομών και Κυβερνοασφάλειας (CISA), όσοι βρίσκονται στο Ηνωμένο Βασίλειο μπορούν να λάβουν συμβουλές από το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) και οι οργανισμοί της Αυστραλίας μπορούν να απευθυνθούν στο Αυστραλιανό Κέντρο Κυβερνοασφάλειας (ACSC) για να αναφέρουμε μόνο μερικές από αυτές τις υπηρεσίες.
Η αναφορά μιας επίθεσης έχει οφέλη τόσο για το θύμα όσο και για τους επίσημους φορείς που επιδιώκουν να το υποστηρίξουν:
- Άμεση υποστήριξη για την αποκατάσταση των ζημιών: Οι κυβερνήσεις και άλλοι επίσημοι φορείς είναι συχνά σε θέση να παρέχουν τεχνογνωσία και καθοδήγηση για να βοηθήσουν τα θύματα να αποκαταστήσουν την υποδομή τους από μία επίθεση και να ελαχιστοποιήσουν τις επιπτώσεις της
- Πληροφόρηση για τη δημιουργία πολιτικών και καθοδήγηση: Η προστασία των επιχειρήσεων από το κυβερνοέγκλημα, συμπεριλαμβανομένου του ransomware, αποτελεί ένα σημαντικό σημείο ενδιαφέροντος για πολλές κυβερνήσεις σε όλο τον κόσμο. Όσο περισσότερες γνώσεις και πληροφορίες έχουν επίσημοι φορείς σχετικά με τις επιθέσεις και τον αντίκτυπό τους, τόσο καλύτερα μπορούν να δημιουργήσουν πολιτικές και να πάρουν πρωτοβουλίες για την καθοδήγηση των θυμάτων και την αντιμετώπιση των απειλών
- Ενεργοποίηση της κατάργησης επιτιθέμενων: Η έγκαιρη κοινοποίηση λεπτομερειών για τις επιθέσεις βοηθά τις εθνικές και παγκόσμιες πρωτοβουλίες και υπηρεσίες να εξαρθρώσουν τις κυβερνοεγκληματικές συμμορίες, όπως η επιχείρηση Lockbit τον Φεβρουάριο του 2024.
Λαμβάνοντας υπόψη τα παραπάνω οφέλη, οι πληροφορίες που αποκομίσαμε από την έρευνα είναι ενθαρρυντικές.
Διαπίστωση 1: Όλο και περισσότερες επιθέσεις ransomware αναφέρονται σήμερα
Σε παγκόσμιο επίπεδο, κατά το τελευταίο έτος, το 97% των θυμάτων ransomware ανέφερε την επίθεση στις αρχές επιβολής του νόμου ή/και σε επίσημους φορείς. Τα ποσοστά αναφοράς είναι υψηλά σε όλες τις χώρες που συμμετείχαν στην έρευνα, με μόλις δέκα ποσοστιαίες μονάδες μεταξύ του χαμηλότερου ποσοστού (90% – Αυστραλία) και του υψηλότερου (100% – Ελβετία).
Τα ευρήματα αποκαλύπτουν ότι, ενώ τα ετήσια έσοδα και ο αριθμός των εργαζομένων έχουν ελάχιστο αντίκτυπο στην ροπή που υπάρχει προς την αναφορά μίας επίθεσης, υπάρχουν κάποιες διαφοροποιήσεις ανά κλάδο. Σε τομείς ή κλάδους με υψηλό ποσοστό δημόσιων οργανισμών, αναφέρεται σχεδόν πάντα το σύνολο των επιθέσεων:
- 100% κρατική και τοπική αυτοδιοίκηση (n=93)
- 6% υγειονομική περίθαλψη (n=271)
- 5% εκπαίδευση (n=387)
- 4% κεντρική/ομοσπονδιακή κυβέρνηση (n=175)
Ο τομέας των διανομών και των μεταφορών έχουν το χαμηλότερο ποσοστό αναφοράς (85%, n=149), ακολουθούμενος από τους τομείς της πληροφορικής, της τεχνολογίας και των τηλεπικοινωνιών (92%, n=143).
Διαπίστωση 2: Η επιβολή του νόμου βοηθά σχεδόν πάντα με κάποιο τρόπο
Για τους οργανισμούς που αναφέρουν μία επίθεση, τα καλά νέα είναι ότι η εμπλοκή των αρχών επιβολής του νόμου ή/και των επίσημων φορέων είναι σχεδόν πάντα δεδομένη. Συνολικά, μόλις το 1% από τα 2.974 θύματα που συμμετείχαν στην έρευνα δήλωσε ότι παρόλο που ανέφερε την επίθεση δεν έλαβε υποστήριξη.
Διαπίστωση 3: Η υποστήριξη για τα θύματα ransomware ποικίλλει ανά χώρα
Οι ερωτηθέντες που ανέφεραν την επίθεση έλαβαν υποστήριξη κυρίως με τρεις τρόπους:
- Συμβουλές για την αντιμετώπιση της επίθεσης (61%)
- Βοήθεια για τη διερεύνηση της επίθεσης (60%)
- Βοήθεια για την ανάκτηση δεδομένων που κρυπτογραφήθηκαν κατά την επίθεση (το 40% των θυμάτων συνολικά και το 58% εκείνων που είδαν τα δεδομένα τους να κρυπτογραφούνται).
Αν εμβαθύνουμε λίγο, βλέπουμε ότι η ακριβής φύση της συμμετοχής των αρχών επιβολής του νόμου ή/και των επίσημων φορέων ποικίλλει ανάλογα με τον τόπο όπου εδρεύει ο οργανισμός. Αν και περισσότερα από τα μισά θύματα έλαβαν συμβουλές για την αντιμετώπιση της επίθεσης σε όλες τις χώρες που συμμετείχαν στην έρευνα, οι οργανισμοί στην Ινδία (71%) και τη Σιγκαπούρη (69%) ανέφεραν το υψηλότερο επίπεδο υποστήριξης σε αυτόν τον τομέα.
Tο υψηλότερο επίπεδο υποστήριξης για τη διερεύνηση της επίθεσης (70%) αναφέρθηκε από τους Ινδούς ερωτηθέντες ακολουθούμενοι από εκείνους στη Νότια Αφρική (68%), ενώ το χαμηλότερο ποσοστό αναφέρθηκε στη Γερμανία (51%).
Μεταξύ εκείνων που είδα τα δεδομένα τους να κρυπτογραφούνται, περισσότεροι από τους μισούς παγκοσμίως (58%) έλαβαν υποστήριξη για την ανάκτηση των κρυπτογραφημένων δεδομένων τους. Η Ινδία συνεχίζει να βρίσκεται στην κορυφή της λίστας, με το 71% των ατόμων με κρυπτογραφημένα δεδομένα να λαμβάνουν βοήθεια για την ανάκτησή τους. Αξίζει να σημειωθεί ότι οι χώρες με τη χαμηλότερη υποστήριξη για την ανάκτηση κρυπτογραφημένων δεδομένων βρίσκονται όλες στην Ευρώπη: Ελβετία (45%), Γαλλία (49%), Ιταλία (53%) και Γερμανία (55%).
Διαπίστωση 4: Η συνεργασία με τις αρχές επιβολής του νόμου είναι γενικότερα εύκολη
Είναι πάντως ενθαρρυντικό ότι οι περισσότεροι από τους μισούς (59%) από εκείνους που συνεργάστηκαν με τις αρχές επιβολής του νόμου ή/και τους επίσημους φορείς σχετικά με την επίθεση δήλωσαν ότι η διαδικασία ήταν εύκολη (23% πολύ εύκολη, 36% σχετικά εύκολη). Μόνο το 10% δήλωσε ότι η διαδικασία ήταν πολύ δύσκολη, ενώ το 31% την περιέγραψε ως σχετικά δύσκολη.
Η ευκολία εμπλοκής ποικίλλει επίσης ανά χώρα. Οι κάτοικοι της Ιαπωνίας ήταν πιο πιθανό να δηλώσουν δύσκολη την αναφορά (60%) ακολουθούμενοι από εκείνους της Αυστρίας (52%). Οι Ιάπωνες ερωτηθέντες τείνουν επίσης να θεωρούν «πολύ δύσκολο» να αναφέρουν την επίθεση (23%). Αντίθετα, οι ερωτηθέντες στη Βραζιλία (75%) και τη Σιγκαπούρη (74%) ήταν πιθανότερο να θεωρούν εύκολη την αναφορά ενώ οι Ιταλοί είχαν το υψηλότερο ποσοστό από εκείνους που το βρήκαν «πολύ εύκολο» (32%) να υποβάλλουν τη σχετική αναφορά.
Διαπίστωση 5: Υπάρχουν αμέτρητοι λόγοι για τους οποίους δεν αναφέρονται επιθέσεις
Υπήρχε μια σειρά από λόγους για τους οποίους το 3% (86 ερωτηθέντες) δεν ανέφερε την επίθεση, με τους δύο πιο συνηθισμένους να είναι η ανησυχία ότι θα είχε αρνητικό αντίκτυπο στον οργανισμό τους, όπως πρόστιμα, χρεώσεις ή επιπλέον εργασία (27%) καθώς και επειδή δεν πίστευαν ότι θα υπήρχε κάποιο όφελος για αυτούς (επίσης 27%). Αρκετοί ερωτηθέντες είπαν αυτολεξεί ότι φρόντισαν να μην εμπλέξουν τους επίσημους φορείς, καθώς ήταν σε θέση να επιλύσουν το ζήτημα εσωτερικά.
Συμπέρασμα
Τα ευρήματα της έρευνας αποκάλυψαν ότι η αναφορά επιθέσεων ransomware είναι πολύ συχνή και τα θύματα λαμβάνουν σχεδόν πάντα υποστήριξη ως αποτέλεσμα. Ας ελπίσουμε ότι τα ευρήματα αυτά θα ενθαρρύνουν κάθε οργανισμό που θα πέσει θύμα στο μέλλον να ενημερώσει τον αρμόδιο φορέα/τους αρμόδιους φορείς. Αν και γενικά είναι εύκολο για τους οργανισμούς να αναφέρουν μια επίθεση, υπάρχουν επίσης ευκαιρίες για να διευκολυνθεί η διαδικασία σε μια αναπόφευκτα πολύ αγχωτική στιγμή. Όπως σχολιάζει ο Chester Wisniewski, Director, Global Field CTO, Sophos, «Οι εγκληματίες είναι επιτυχημένοι εν μέρει λόγω της κλίμακας και της αποτελεσματικότητας με την οποία λειτουργούν. Για να τους νικήσουμε, πρέπει να τους ανταγωνιστούμε και στους δύο αυτούς τομείς. Αυτό σημαίνει ότι, στο μέλλον, χρειαζόμαστε ακόμη μεγαλύτερη συνεργασία, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα – και τη χρειαζόμαστε σε παγκόσμιο επίπεδο».
Source: Sophos