Plaga cyberokupów uderza w biznes
Cyberprzestępcy specjalizujący się w wymuszaniu cyberokupów nie oszczędzają nikogo. Ich ofiarą padają podmioty z niemal każdej branży, a także instytucje rządowe i placówki edukacyjne. Żądane kwoty za odszyfrowanie danych idą mocno w górę. Ransomware wszedł na wokandę spotkań zarządów korporacji i stał się przedmiotem rozmów światowych przywódców. Czy i jak się można przed tym obronić?
BIZNES INTERIA na Facebooku i jesteś na bieżąco z najnowszymi wydarzeniami
Pod koniec sierpnia br. firma z branży odzieżowej Monnari Trade, której akcje są notowane na warszawskiej giełdzie papierów wartościowych, wydała komunikat, że systemy operacyjne spółki zostały zaatakowane przez hakerów. Zarząd przyznał, że skutki cyberataku dotknięty zarówno systemy sprzedażowe, jak i finansowe, przez co bieżące funkcjonowanie firmy stało się bardzo utrudnione. O zaistniałej sytuacji spółka poinformowała organy ścigania i odpowiednie służby państwowe. Specjalizujący się w tamatyce cyberbezpieczeństwa serwis niebezpiecznik.pl doprecyzował, że był to atak typu ransomware, czyli z użyciem oprogramowania wymuszającego okup. Hakerzy mieli zaszyfrować dane przez co sklepy spółki nie mogły korzystać z systemu sprzedaży i obsługi zwrotów. Według serwisu hakerzy mieli negocjować ze spółką wysokość okupu.
Kilka miesięcy wcześniej incydent ataku ransomware dotknął spółkę CD Projekt. Po ujawnieniu tej informacji w komunikacie giełdowym kurs akcji spółki gamingowej załamał się. Hakerzy dostali się do serwerów polskiego producenta gier i zaszyfrowali dane. Zagrozili przy tym, że CD Projekt ma 48 godzin na skontaktowanie się z nimi, a w przypadku braku porozumienia miało dojść do ujawnienia lub sprzedania wykradzionych przez hakerów danych. CD Projekt grożono przekazaniem niekorzystnych wizerunkowo informacji, które miałyby zostać opisane w branżowych mediach, co miałoby skutkować utratą zaufania do producenta ze strony kontrahentów i klientów. Spółka nie zapłaciła okupu za odszyfrowanie danych - odzyskała je z backupu, choć jej wizerunek w jakiś sposób na pewno ucierpiał.
Oczywiście problem z ransomware nie dotyczy tylko Polski, bo cyberprzestępcy działają w skali globalnej. Według analiz zespołu Atlas VPN oprogramowanie ransomware stanowiło aż 81 proc. wszystkich cyberataków motywowanych finansowo w 2020 roku, a w tym roku ich skala jeszcze się nasiliła. I przykładowo w marcu media na całym świecie informowały, że ofiarą tego typu atak padła firma Acer, tajwański producent elektroniki i komputerów, a kwota żądanego cyberokupu to 50 mln dol., i to już pod 20 proc. zniżce jaką zaproponowali hakerzy. Była to zarazem najwyższa żądana kwota okupu w historii tego typu ataków w cyberprzestrzeni.
Można się spodziewać, że w niedalekiej przyszłości kwoty te będą jeszcze wyższe. Atlas VPN podawał, że średni koszt włamania spowodowanego przez oprogramowanie ransomware w 2020 r. wyniósł 4,44 mln dolarów. Tymczasem firma Barracuda, dostawca rozwiązań w zakresie bezpieczeństwa chmury w opublikowanym w sierpniu tego roku raporcie podała, że kwoty cyberokupu drastycznie wzrastają. Obecnie przeciętne żądanie okupu wynosi ponad 10 milionów dolarów. W 8 proc. incydentów żądano okupu poniżej 10 mln dolarów, a w 14 proc. incydentów - powyżej 30 mln dolarów.
- Dane zgromadzone przez FortiGuard Labs pokazują, że w czerwcu 2021 roku poziom średniej tygodniowej aktywności oprogramowania ransomware był ponad dziesięciokrotnie wyższy od odnotowanego w ubiegłym roku. Świadczy to o konsekwentnym i stałym wzroście popularności tego złośliwego narzędzia. Przychody z cyberprzestępczości z użyciem oprogramowania szyfrującego wzrosły w 2020 roku o 311 proc. (w porównaniu z rokiem poprzednim) i osiągnęły szacunkową wartość 350 milionów dolarów. Ataki tego rodzaju sparaliżowały w ostatnim czasie wiele przedsiębiorstw. Cyberprzestępcy w szczególności interesowali się branżami o kluczowym znaczeniu, jak telekomunikacja czy finanse, ale także sektorem publicznym i produkcyjnym. Trzeba jednak pamiętać, że ransomware pozostaje zagrożeniem dla wszystkich firm i organizacji, niezależnie od wielkości i charakteru - mówi Wojciech Ciesielski, menedżer ds. sektora finansowego w firmie Fortinet, specjalizującej w się w rozwiązaniach z zakresu cyberbezpieczeństwa.
Nie dziwi więc, że w czerwcu tego roku Lindy Cameron, szefowa National Cyber Security Center (NCSC), czyli Krajowego Centrum Cyberbezpieczeństwa w Wielkiej Brytanii podczas wystąpienia w Royal United Services Institute stwierdziła, że to właśnie ransomware stanowi obecnie największe zagrożenie przed którym stoją firmy i instytucje w Wielkiej Brytanii. Zauważyła, że proceder ten kwitnie i jest coraz bardziej dochodowy, ponieważ atakowane firmy i instytucje, takie jak służba zdrowia nie mogą sobie pozwolić na utratę danych, które zostały zaszyfrowane przez hakerów. Podkreśliła też, że aby skutecznie walczyć z tą plagą konieczne jest wspólne działanie ekspertów ds. cyberbezpieczeństwa i rządów na płaszczyźnie międzynarodowej.
- W czasie pandemii cyberprzestępcy szczególnie zainteresowali się branżą ochrony zdrowia. Istnieją dwie główne przyczyny, dlaczego tak się stało. Pierwsza to wysokie prawdopodobieństwo zapłacenia okupu przez jednostkę skutecznie zaatakowaną za pomocą ransomware - wynika ono z konieczności zapewnienia przez podmiot medyczny ciągłości pracy, od której może zależeć nawet ludzkie życie. Druga, to wysoka wartość, jaką wykradziona cyfrowa dokumentacja osiąga na czarnym rynku - potwierdza spostrzeżenia szefowej NCSC Wojciech Ciesielski.
Natomiast firma Sophos dostrzegała, że w ostatnim okresie cyberprzestępcy specjalizujący się w wymuszeniach okupów na celownik wzięli sobie szkoły. W raporcie "State of Ransomware in Education 2021" wskazuje ona, że w 2020 r. 44 proc. instytucji edukacyjnych doświadczyło ataku ransomware, co stanowi największy odsetek spośród wszystkich branż. To pokłosie tego, że w czasie pandemii szkoły przestawiały się na zdalne nauczanie, a ich infrastruktura IT jest nader często przestarzała, a ponadto borykają się z brakami kadrowymi jeśli chodzi o specjalistów IT. Badanie przeprowadzono w styczniu i lutym 2021 r. na próbie 5,4 tys. menedżerów z obszaru IT, w tym 499 z branży edukacyjnej, w 30 krajach w Europie (w tym także w Polsce), Ameryce Północnej i Południowej, Azji-Pacyfiku i Azji Środkowej, na Bliskim Wschodzie i w Afryce.
Wyniki badania Sophos pokazały, że placówki oświatowe ponoszą bardzo wysokie koszty zniwelowania skutków ataku, średnio 2,73 mln dolarów (to o połowę więcej niż światowa średnia). Na tę kwotę składają się koszty zapłacenia okupu, ale też odzyskania danych, załatania luk w zabezpieczeniach i usuwania skutków ataku. Aż 35 proc. instytucji edukacyjnych zapłaciło okup (średnio 112 tys. dolarów), jednak tylko co dziesiąta odzyskała wszystkie dane. Co trzecia uzyskała połowę lub mniej danych. Większą skłonność do płacenia przestępcom wykazały jedynie branża energetyki i usług komunalnych oraz samorządy lokalne.
- Branża edukacyjna od dawna jest atrakcyjnym celem dla przestępców. Należące do niej placówki dysponują wrażliwymi danymi, a jednocześnie często brakuje w nich odpowiedniej infrastruktury IT, specjalistów i budżetu. Zespoły IT muszą zabezpieczać przestarzałe systemy, dysponując przy tym ograniczonymi narzędziami i zasobami. Pandemia przyniosła dodatkowe wyzwania: brakowało czasu na zaplanowanie strategii bezpieczeństwa czy wybór nowych rozwiązań. Ryzyko ataków dodatkowo zwiększa niska świadomość zagrożeń wśród użytkowników szkolnych systemów.- komentuje wyniki badania Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
I to właśnie ataki ransomware przyczyniają się w dużej mierze do niepokoju menedżerów odpowiedzialnych w firmach za cyberbezpieczeństwo o zdolność infrastruktury, którą zarządzają do odpierania cyberataków. Ogólnoświatowe Badanie Bezpieczeństwa Informacji EY, które zostało przeprowadzone okresie między marcem a majem tego roku przyniosło interesujące obserwacje: 43 proc. ankietowanych przez EY menedżerów ds. bezpieczeństwa informacji (CISO) nigdy dotąd nie martwiło się w takim stopniu jak obecnie o zdolność ich firm do odpierania cyberzagrożeń., a 77 proc. ostrzega, że miało w ostatnich 12 miesiącach do czynienia ze wzrostem liczby ataków typu ransomware.
- Na szczęście przedsiębiorstwa i rządy uznały, że tak dalej być nie może. Oprogramowanie ransomware jest obecnie gorącym tematem spotkań zarządów, a nawet stało się przedmiotem dyskusji na szczycie G7, jak również wielu innych rozmów dyplomatycznych pomiędzy światowymi przywódcami. Teraz nadszedł czas, aby pomyśleć o nowoczesnej ochronie danych i jej przyszłości oraz, aby odpłacić się hakerom pięknym za nadobne - mówi Dave Russell, wiceprezes ds. strategii dla przedsiębiorstw w firmie Veeam, dostawcy rozwiązań ochrony danych.
Uczula ona, że właściwa higiena cyfrowa musi stać się drugą naturą firmy, a nie czymś, co ćwiczy się przez tydzień po corocznym szkoleniu z zakresu cyberbezpieczeństwa i zapomina o tym do następnego szkolenia. W jego ocenie aktualizowanie oprogramowania powinno być traktowane tak samo jak zamykanie biura na noc. Nieposiadanie planu odzyskiwania danych po awarii można zaś porównać do niewykupienia przez firmy ubezpieczenia majątku firmowego.
- Każda firma niezależnie od branży, w której działa powinna zainwestować w nowoczesne narzędzia i plan ochrony danych, aby zminimalizować skutki ataków ransomware. Postrzeganie ataków jako nieuniknione jest pierwszym krokiem do stworzenia bardziej bezpiecznej kultury cybernetycznej, z pracownikami, którzy są bardziej wyedukowani i świadomi oprogramowania ransomware. Jednocześnie firmy muszą mieć odpowiednie zabezpieczenia, aby zminimalizować zakłócenia, w tym oprogramowanie antywirusowe i zapory sieciowe, a także procedury ciągłego tworzenia kopii zapasowych i odzyskiwania danych, aby zapewnić odpowiednie zabezpieczenie przed niszczącymi skutkami oprogramowania ransomwar - uczula Dave Russell.
Wojciech Ciesielski podkreśla natomiast, że aby skutecznie bronić się przed ransomware, firmy powinny przede wszystkim przyjąć proaktywne podejście do bezpieczeństwa. Należy stosować rozwiązania do ochrony stacji końcowych i urządzeń mobilnych działające w czasie rzeczywistym, które wykrywają i automatycznie reagują na incydenty stosując podejście zerowego zaufania (Zero-Trust Network Access). Istotne też jest wprowadzenie segmentacji sieci, uwierzytelniania wieloskładnikowego, oraz szyfrowania przesyłanych danych.
- Wprowadzenie skutecznych zabezpieczeń może się wydawać trudnym zadaniem z uwagi na ograniczone zasoby i kompetencje w poszczególnych firmach i organizacjach, a także koszty. Nie musi jednak tak być, dzięki rozwiązaniom cyberbezpieczeństwa wykorzystującym sztuczną inteligencję, a także możliwości nawiązania współpracy z firmami oferującymi zarządzanie bezpieczeństwem cyfrowym w formie usługi (Managed Security Service Provider). Bardzo ważne w tym przypadku jest też odpowiednie wsparcie zarządów firm i organizacji, które polega m.in. na zrozumieniu istoty zagrożeń dla ich działalności oraz proaktywnym podejściu do ich neutralizacji. Ważnym krokiem w każdym przedsiębiorstwie jest także przeszkolenie personelu w zakresie cyberhigieny i dobrych praktyk w korzystaniu z internetu. Skuteczność ataków ransomware bardzo często zależy bowiem od świadomości użytkowników i ich umiejętności rozpoznania np. phishingowego e-maila. Warto zatem dbać o wdrożenie wśród załogi odpowiedniej kultury bezpieczeństwa i zainteresować się dostępnymi na rynku szkoleniami - radzi Wojciech Ciesielski.
Problem jednak też w tym, że cyberprzestępcy ciągle udoskonalają swoje metody działania. Firma Barracuda zwraca uwagę, że ataki ransomware szybko ewoluują i są skierowane przeciwko łańcuchom dostaw oprogramowania, które pozwalają dotrzeć do większej liczby firm.
Adam Jackowski