Kopie zapasowe dostawców infrastruktury krytycznej coraz częstszym celem cyberataków

67 proc. przedsiębiorstw zaliczanych do infrastruktury krytycznej (branża energetyczna, naftowo-gazowa i użyteczności publicznej) zostało zaatakowanych przy użyciu oprogramowania ransomware w 2024 roku. Tak  wynika z badań firmy Sophos. Podaje ona również, że ubiegły rok był pierwszym w historii raportu „State of Ransomware”, gdy podmioty te zgłosiły większą skłonność do płacenia okupu niż do korzystania z kopii zapasowych.

Drugi rok z rzędu wskaźnik ataków ransomware na podmioty infrastruktury krytycznej pozostaje na poziomie 67 proc. Średni koszt odzyskania przez nie danych po ataku ransomware wyniósł w 2024 r. około 3,12 mln dolarów, czyli nieznacznie mniej niż w 2023 r., kiedy wyniósł 3,17 mln dolarów.

Z raportu „State of Ransomware in Critical Infrastructure 2024” wynika również, że przestępcy coraz częściej żądają coraz wyższych okupów. W 2024 r. jedynie 51 proc. badanych firm odzyskało dane dzięki wykorzystaniu kopii zapasowych. Z kolei 61 proc. podmiotów infrastruktury krytycznej zapłaciło okup za odzyskanie danych. To wyższy odsetek niż w 2023 i 2022 r., kiedy żądania przestępców spełniło odpowiednio 50 i 55 proc. badanych przedsiębiorstw.

– To pokazuje, że cyberprzestępcy zdają sobie sprawę, jak destrukcyjne mogą być cyberataki dla dostawców tych usług i widzą w tym okazję do zarobienia dużych pieniędzy. W 2024 roku średnia wysokość okupu płaconego przez podmioty dotknięte ransomwarem wynosiła 2,5 mln dolarów – wskazuje Chester Wisniewski, dyrektor ds. technologii w Sophos.

Brak wieloskładnikowego uwierzytelniania, niezaktualizowane oprogramowanie oraz gotowość do opłacenia wysokiego okupu wskazują na podatność instytucji na cyberataki i utwierdzają przestępców w przekonaniu, że jest to idealny cel kolejnego ataku. Jednocześnie nie istnieje idealny sposób, dzięki któremu ofiary mogą ,,wykupić się” z konsekwencji cyberataku.

– 55 proc. respondentów odzyskanie danych zajęło ponad miesiąc. Moim zdaniem przez większość tego czasu ofiary negocjowały z cyberprzestępcami, kupowały kryptowaluty i opóźniały odbudowywanie swoich systemów. Tymczasem odzyskanie wszystkich plików jest prawie niemożliwe, a systemy wciąż będą wymagały naprawy – tłumaczy Chester Wisniewski.

Zdaniem eksperta najlepszym rozwiązaniem dla podmiotów dotkniętych ransomware jest odmowa opłacenia okupu i niezwłoczne rozpoczęcie procesu odzyskiwania danych z własnej kopii zapasowej oraz przywrócenie do sprawności zaatakowanego oprogramowania i urządzeń.

Jedną z metod szybkiego odzyskania danych, które zostały zaszyfrowane lub zniszczone w wyniku cyberataku, jest korzystanie z kopii zapasowych. Jednak, jak wykazało badanie Sophos, napastnicy chętnie atakują także środowiska backupu. 98 proc. podmiotów energetycznych, naftowo-gazowych i użyteczności publicznej dotkniętych oprogramowaniem ransomware w 2024 roku stwierdziło, że cyberprzestępcy próbowali naruszyć ich kopie zapasowe podczas ataku. Cztery na pięć (79 proc.) takich prób zakończyło się sukcesem, co jest najwyższym wskaźnikiem udanych ataków na kopie zapasowe we wszystkich badanych branżach.

Tegoroczne wyniki z branży infrastruktury krytycznej pokazują wyraźną zmianę w porównaniu z poprzednimi dwoma latami, kiedy cieszyła się ona imponującymi wskaźnikami wykorzystania kopii zapasowych, oscylującymi w granicach 70-77 proc. W 2024 roku z backupu skorzystało jedynie 51 proc. badanych podmiotów.

Co mogą zrobić instytucje infrastruktury krytycznej, żeby uchronić się przed atakami?

Chester Wisniewski podkreśla, że przedstawiciele branży infrastruktury krytycznej muszą zrozumieć, że ataki ransomware są bardzo poważnym zagrożeniem i zadbać o to, aby ich organizacje były w jak najmniejszym stopniu podatne na żądania opłacenia okupu.

– To jest jak najbardziej możliwe do zrobienia. Chodzi tylko o to, aby skupić się na podstawowych działaniach dotyczących cyberbezpieczeństwa. W 83 proc. firm atak ransomware był konsekwencją phishingu, kradzieży danych uwierzytelniających albo luk w zabezpieczeniach systemów. Aby tego uniknąć, w pierwszym kroku należy zadbać o wieloskładnikowe uwierzytelnianie i aktualizację oprogramowania systemów. To środki zaradcze, które nie generują dodatkowych albo wysokich kosztów – dodaje ekspert Sophos.

Chester Wisniewski przypomina również, że, jeśli firma zostanie zaatakowana, nie należy płacić okupu cyberprzestępcom. Nie gwarantuje to odzyskania dostępu do danych, a może wiązać się z ogromnymi kosztami. Ponadto, skradzione przez cyberprzestępców dane mogą trafić do dark webu, a zapłacenie okupu ich z niego nie usunie.

Dane z raportu „State of Ransomware in Critical Infrastracture 2024” pochodzą z badania przeprowadzonego w okresie od stycznia do lutego 2024 r. wśród 5 tys. liderów cyberbezpieczeństwa, w tym 275 z branży energetycznej, naftowej/gazowej i użyteczności publicznej. Respondenci pochodzili z 14 krajów z obu Ameryk, Europy, Azji i rejonu Pacyfiku.