Atak ransomware. Kto płaci okup hakerom i dlaczego?
Ataki z użyciem ransomware polegające na zaszyfrowaniu danych i żądaniu okupu w zamian za ponowne uzyskanie do nich dostępu są coraz częstsze, co paraliżuje działalność firm i instytucji. Część z ofiar decyduje się płacić okup, choć eksperci stanowczo tego odradzają. Kto daje się terroryzować hakerom i dlaczego?
Kampanie ransomware (ang. ransom– okup isoftware – oprogramowanie), czyli cyberataki polegające na zablokowaniu dostępu do systemu lub zaszyfrowaniu danych, by uniemożliwić ich odczyt pod żądaniem okupu, są coraz bardziej zróżnicowane. Chodzi przede wszystkim, aby przechytrzyć ofiary.
Ich różnorodność – zdaniem specjalistów ds. bezpieczeństwa – ma związek z „demokratyzacją” ransomware, trendem polegającym na darmowym udostępnianiu narzędzi do przeprowadzania cyberataków – kiedy okazują się one skuteczne, twórcy złośliwego oprogramowania mają udziały w ewentualnych zyskach z okupu. Więcej na ten temat pisaliśmy na łamach #CyberMagazynu.
Kto płaci okupy i dlaczego?
Jeden z holenderskich badaczy, na którego powołuje się serwis The Record, postanowił przyjrzeć się, dlaczego część ofiar decyduje się na zapłatę okupu cyberprzestępcom, a część nie jest skłonna, by to zrobić. Co nimi kieruje i co wpływa na ich decyzję?
Przeanalizował dane policji, a także poszczególne przypadki oraz schematy reagowania na incydenty z ostatnich czterech lat. Pod uwagę wziął 382 ataki przy pomocy oprogramowania ransomware, jakie zgłoszono holenderskiej policji oraz informacje od osoby, która brała udział w reagowaniu na 100 incydentów.
Co wynika z jego analizy? Podmioty, które współpracują z zewnętrznymi firmami zajmującymi się reagowaniem na incydenty są najbardziej skłonne, by płacić hakerom (tak odpowiedziała nieco ponad połowa badanych), a ci, którzy zgłaszali incydenty tylko policji decydowali się na ten ruch znacznie rzadziej (21 proc. odpowiedzi).
W latach 2019-2022 ponad 1/4 firm zapłaciła okup (dokładnie 28 proc.), a jego średnia kwota wynosiła ok. 470 tys. dolarów. Co ciekawe, podmioty, które dysponowały ubezpieczeniem od cyberataków płaciły średnio znacznie wyższe okupy (ok. 771 tys. dolarów).
„Być może wynika to z (faktu)… skoro ktoś inny płaci za ofiarę, ofiara jest skłonna zapłacić większą kwotę” – cytuje raport serwis The Record.
Co nie jest zaskoczeniem, firmy, które posiadały kopie zapasową danych rzadziej płaciły przestępcom. Jednak kiedy już decydowały się na ten ruch, to uiszczały średnio większe kwoty niż te, które jej nie miały. Zdaniem autorów badania może chodzić o to, że podmioty mające backupy zwykle są świadome wagi posiadanych danych i są one dla nich znacznie bardziej wartościowe. Ryzyko ich ujawnienia np. w darknecie sprawia, że mogą zrobić wszystko, by tak się nie stało.
Nie będzie także szokiem stwierdzenie, że w związku z wyciekiem danych firmy częściej płacą okup – w 40 proc. przypadków ta technika „perswazji” zastosowana przez przestępców działa. Średnia zapłata okupu w takich przypadkach wynosi ok. 1,3 mln dolarów i jest ponad 13 razy wyższa niż „standardowa”.
Choć firmy technologiczne najczęściej posiadają backupy i zwykle wdrażają najlepsze z możliwych zabezpieczeń, świadome zagrożeń ze strony grup hakerskich, to nadal są bardzo atrakcyjnym celem i wiąże się to dla nich z dużym ryzykiem złamania systemów przez atakujących. W przypadku tych, którzy decydują się płacić okup, średnia „cena” żądania przestępców wynosi 291 tys. dolarów.
Polskie instytucje celem ataków ransomware
Ataki ransomware nie omijają także polskich firm czy instytucji. Te, które płacą okupy zwykle się tym nie chwalą publicznie, natomiast znamy kilka przykładów podmiotów, które stanowczo odmówiły negocjacji z przestępcami.
Na początku stycznia br. Uniwersytet Zielonogórski zmagał się ze skutkami cyberataku. Celem padła m.in. poczta uczelni, a władze placówki poinformowały studentów i uczniów o „naruszeniu danych osobowych”. Jak wynikało z naszych informacji, hakerzy zażądli okupu, uczelnia potwierdziła, że nie będzie go płaciła.
Nowy rok nieszczęśliwie rozpoczął też Centralny Ośrodek Sportu Ośrodku Przygotowań Olimpijskich w Zakopanem. Do incydentu doszło na skutek uzyskania przez osoby nieuprawnione dostępu do wewnętrznej sieci. Sprawcy zaszyfrowali dane a część z nich usunęli. Dodatkowo ośrodek wykrył „nieautoryzowany transfer danych”, co mogło wiązać się z ich wyciekiem. Wyglądało to na typowy atak ransomware.
Celem hakerów pod koniec ubiegłego roku padła również firma ALAB Laboratoria – o przebiegu incydentu informujemy na bieżąco na naszych łamach. W efekcie doszło do wycieku danych medycznych Polek i Polaków, a dane w darknecie ujawniła grupa cyberprzestępcza, która atakowała właśnie przy pomocy oprogramowania ransomware.
źródło informacji: CyberDefence24.PL