Сигурност

Защо поскъпват атаките с рансъмуер

CIO Media

Джейкумар Виджаян, CSO

Откупът все още е малка част от общата цена на атаката с рансъмуер, но свързаните с нея разходи се увеличават

Не са много организациите, на които им се налага да платят разходи в размер на 67 милиона щатски долара, свързани с рансъмуер. United Health Services (UHS) може да се оплаче, че е една от тях, след атаката от септември 2020 г., която осакати нейната мрежа. Организацията обаче е пример и за все по-тежката финансова дан, която тези атаки започнаха да изискват от жертвите си през последните две години.

Експерти по сигурността, които следят тенденцията, посочват няколко фактора като движещи за растящите разходи при атаките с рансъмуер,особено за организации в сектора на здравеопазването. Един от най-очевидните е повишението на средните откупи, които хакерите изискват от жертвите си.

Анализ на данните от исковете на притежатели на полици на фирмата за киберзастраховки Coalition миналата година показва, че размерът на средния поискан откуп е скочил с 47% - от малко над 230 000 щатски долара през първото тримесечие на 2020 г. до 338 669 щатски долара през второто тримесечие на 2020 г. Някои като операторите на щама Maze на рансъмуер удрят жертвите със среден откуп от 420 000 щатски долара. Проучване на Coveware установява, че действителните изплатени суми за откуп също са скочили неимоверно - от малко над 84 000щатски долара през четвъртото тримесечие на 2019 г. до над 233 817 щатски долара през третото тримесечие на 2020 г.

Самият откуп обаче е само част от общата цена и често не е фактор за всички компании, които отказват да се присъединят към опитите за изнудване. Дори за такива организации цената на атаките се увеличава устойчиво през последните две години. Тук според експерти по сигурността са пет от най-често срещаните причини защо това се е случва.

Цената на престоя
Времето на спиране на дейности е един от най-големите, ако не и най-големият, разходи, свързани с атака с рансъмуер. Жертвите на такива атаки често се нуждаят от дни, а понякога дори седмици, за да възстановят системите си след атаката. През това време нормалните дейности може да бъдат сериозно нарушени в резултат на загубен бизнес, цена на загубени възможности, загубено доверие на клиентите, прекратени споразумения за ниво и качество на обслужване, ерозия на марката и много други проблеми. Голямата част от разходите на UHS например беше свързана със загуба на приходи поради невъзможността да предостави обичайните здравни услуги за пациентите и забавяния на фактури и сметки.

Подобни проблеми биха могли да станат още по-лоши. В последните месеци злонамерени лица започнаха да се целят в оперативни технологични мрежи, за да увеличат максимално времето на престой за жертвите и да повишат натиска върху тях, за да платят. Пример за това е една атака от началото на тази година към гиганта в опаковките WestRock Company, която засегна работата на някои от мелниците и преработвателните заводи на компанията. Подобна атака към Honda през 2020 г. временно наруши дейностите на някои от заводите на производителя на автомобили извън Япония.

По преценка на две трети от участниците в проучване на близо 2700 ИТ специалисти, което Veritas проведе миналата година, на организациите им ще са необходими поне пет дена, за да се възстановят от атака с рансъмуер. Друг доклад от Coveware определи, че средното време на престой е значително по-голямо средната продължителност от 21 дена през четвъртото тримесечие на 2020 г.

Райън Уийкс, CISO на Datto, казва, че според проучване на компанията от миналата година средната цена на престоя, свързан с атака с рансъмуер през 2020 г., е била с цели 93% по-висока, отколкото тази само преди една година. "Престоят често е многократно по-скъп, отколкото самия откуп, казва той. Скоростта, с която цената на престоя се увеличава, наистина поставя епидемията от рансъмуер в перспектива."

Данните на компанията показват, че средният престой поради атака с рансъмуер може да струва към 274 200 долара, или много повече от средния поискан откуп, казва Уийкс. "Например през 2018 г. град Атланта, Джорджия, беше атакуван с рансъмуер и това струваше на града 17 милиона долара, за да се възстанови от атаката. Но самото плащане на откупа беше само 51 000 долара", казва той.

Тези стойности сочат необходимостта организациите да имат добре обмислена стратегия за кибергъвкавост и план за непрекъсваемост на бизнеса, казва Уийкс. Когато обмислят план за непрекъсваемост на бизнеса, организациите трябва вземат предвид въпроси като цел за време за възстановяване (RTO) - максималната продължителност от време, за което бизнес дейностите трябва да бъдат възстановени, и цел за точка на възстановяване (RPO) - колко назад във времето трябва да се върнат, за да възстановят данни, които все още са в използваем формат. "Изчисляването на вашия RTO помага да се определи максималното време, през което вашата фирма може да си позволи да работи без достъп до данни, без да се изложи на риск. Алтернативно, чрез определяне на RPO, вие знаете колко често трябва да извършвате архивиране на данните си", казва той.

Разходи, свързани с двойно изнудване
В едно особено тревожно развитие операторите на рансъмуер започнаха да крадат големи обеми чувствителни данни от организации, преди да блокират системите им, и след това използват откраднатите данни като допълнителен лост за получаване на откуп. Когато организациите откажат да платят, хакерите пускат данните в сенчести уебсайтове, създадени за тази цел.

Проучване, което японската Nikkei проведе в сътрудничество с Trend Micro, установява, че повече от 1000 организации от целия свят са станали жертва на този тип атака с двойно изнудване само през първите 10 месеца на 2020 г. Смята се, че практиката е започнала от оператори на семейството рансъмуер Maze, но бързо е била възприета от много групи, включително операторите на семействата рансъмуерSodinokibi, Nemty, Doppelpaymer, Ryuk и Egregor. Седем от десет инцидента с рансъмуер, на които Coveware отговори през последното тримесечие, включваха кражба на данни.

"Фактът, че много групи за рансъмуер вече крадат данни, преди да ги криптират, увеличава риска от изтичане на данни, казва Кендид Вюст, вицепрезидент за проучвания на киберзащита в Acronis. Това означава, че е е по-вероятно да са необходими всички свързани разходи като увреждане на марка, съдебни такси, регулаторни глоби и услуги за почистване на данни след проникване, дори ако системите са били възстановени за сравнително кратко време."

Тенденцията измести традиционната математика, свързана с атаките с рансъмуер. Жертвите на такива атаки, дори онези, които прилагат най-добрия процес на архивиране и възстановяване на данни, сега трябва да се съгласят с реалната възможност техните чувствителни данни да изтекат публично или да бъдат продадени на конкуренти. В резултат на това жертвите на атаките с рансъмуер вероятно ще трябва да понесат бремето на финансовото наказание от страна на регулаторни органи, казва Си Ин Пе, старши анализатор по разузнаване на киберзаплахи вDigital Shadows. Публикуването и експозицията на данни, откраднати от жертви, може да представлява нарушение според регламенти катоGDPR на ЕС, ССРА и HIPAA на Калифорния.

"Освен това жертвите могат да понесат правни последствия във формата на искове от трети страни или колективни съдебни дела, отбелязва Пе. Потенциалът за такъв проблем се увеличава, когато данните, които са откраднати и публикувани от хакери, включват данни на други организации като файлове с данни на трети страни или данни на клиенти. Ако са били изложени на риск данни на клиенти, дадена фирма може да очаква разходи, свързани с уведомяване за проникване. Премиите за киберзастраховки може също да се увеличат в резултат на атака с рансъмуер."

Разходи за ИТ ъпгрейд
Непосредствено след атака с рансъмуер организациите могат понякога да подценят разходите, свързани не само с отговора на инцидента, но и с осигуряване на мрежата срещу следващи атаки. Това е особено вярно за ситуации, където дадена организация може да приеме, че най-добрата опция е да плати на хакерите.

"В сценарий, където плащането на откуп е осигурило освобождаването на инфектирани машини, жертвите нямат гаранции, че хакерите вече нямат достъп до тяхното предприятие", казва Миго Кедем, ръководител на SentinelLabs в SentinelOne. Те нямат гаранция, че хакерите не са имплантирали още зловреден софтуер в техните системи или че не са продали или прехвърлили своя незаконен достъп на друга криминална група. Няма гаранция, че след като получат откупа, хакерите ще почистят заразените машини, ще изтрият откраднатите данни или ще се откажат от достъпа си до мрежата на жертвата.

За да се подготвят за бъдещи атаки, организациите често трябва да ъпгрейдват своята инфраструктура и да имплементират по-добри функции за контрол. "Скритите разходи, които жертвите не вземат предвид, са отговорът на инцидента и разходите за ъпгрейд на ИТ системите, необходим за осигуряване на защита на мрежата от следваща атака", казва Кедем.

Повишени разходи от плащане на откуп
Много компании плащат откуп, като приемат, че е по-евтино да възстановят данните си от нула. Това е грешка, казват експерти по сигурност. Проучване на Sophos от миналата година показва, че повече от една четвърт (26%) от жертвите на рансъмуер са платили откуп на хакерите, за да им върнат данните. Други 1% също са платили откуп, но не са получили обратно данните си.

Това, което Sophos откри, беше че онези, които са платили откуп, в крайна сметка са платили двойни разходи, свързани с атака, в сравнение с онези, които не са. Средната цена на атаката с рансъмуер, включително престоя, разходите за ремонт на устройства и мрежа и разходите за възстановяване, времето на хората, пропуснатите възможности и платения откуп, за компании, които са платили откуп, е била грубо 1.5 милиона долара в сравнение с около 733 000 долара за онези, които не са платили.

Причината е, че жертвите все още трябва да извършат много работа, за да възстановят данни, установи Sophos. Според компанията разходите, свързани с възстановяване на данни и връщане към нормалността, са горе-долу същите, независимо дали дадена организация възстановява данните от архив или с ключ за декриптиране, предоставен от хакерите. Така че плащането на откупа само добавя към тези разходи.

Цената на накърнената репутация
Атаките с рансъмуер могат да навредят на доверието и увереността на клиентите, в резултат на което организацията губи клиенти и бизнес. Проучване на около 2000 потребители в САЩ, ОК и други държави, което Arcserve провежда миналата година, показва, че 28% казват, че биха преместили бизнеса си на друго място, ако изпитат нарушаване дори на една услуга или ако техните данни станат недостъпни. Повече от девет от десет (93%) са казали, че преди покупка вземат предвид надеждността на дадена организация, а 59% са твърдели, че биха избегнали да правят бизнес с компания, която е претърпяла кибератака през последните 12 месеца.

Скорошната поява на група, която се нарича "Разпределен отказ на тайни" (Distributed Denial of Secrets), може скоро да затрудни организациите да омаловажат пробивите в данните. Групата, която се моделира по примера на WikiLeaks, твърди, че е събрала огромни количества данни от хакери, използващи рансъмуер, и че ще публикува публично данните в името на прозрачността. Освен това групата вече е публикувала данни, принадлежащи на много компании, за които казва, че са получени от сайтове и форуми, използвани от оператори на рансъмуер за разпространение на крадени данни.


X