69 proc. dużych firm w Europie Środkowo-Wschodniej padło ofiarą ataków ransomware w 2021 roku – wynika z Data Protection Trends Report firmy Veeam. Już drugi rok z rzędu powodowały one największe przestoje w działaniu przedsiębiorstw. Aż 7 na 10 ofiar straciło co najmniej część danych. Średnio aż 1/3 zasobów nie udało się odzyskać. Przestępcy dostają się do firmowej sieci najczęściej za pomocą linków w wiadomościach e-mail prowadzących do złośliwych stron internetowych (phishing) oraz luk w systemach informatycznych i błędów popełnianych przez specjalistów IT.

Według raportu Veeam, ataki ransomware w 2021 r. dotknęły o 15 proc. więcej firm na świecie, w porównaniu z 2020 r. Tego typu zagrożenia nasilają się i stają się coraz bardziej powszechne. Ponad połowa dużych firm (58 proc.) doświadczyła więcej niż jednego ataku, a aż 16 proc. – czterech lub więcej.

Cyberprzestępcy dostają się do infrastruktury IT najczęściej w wyniku kliknięcia przez pracowników w linki prowadzące do złośliwych stron internetowych (25 proc.), przechwycenie danych uwierzytelniających (23 proc.), zainfekowane aplikacje lub pakiety z aktualizacjami oprogramowania (20 proc.) oraz spam (17 proc.). W przypadku 42 proc. firm przestępcy zyskali dostęp do sieci przez działania użytkowników. 43 proc. ataków wykorzystywało niestaranność administratorów (wyciek danych uwierzytelniających, zainfekowane oprogramowanie, niezałatane luki).

(źr. Veeam)

Badanie Veeam wykazało też, że ataki ransomware stają się coraz skuteczniejsze. Firmy w Europie Środkowo-Wschodniej, które stały się ofiarami, nie były w stanie odzyskać średnio 32 proc. utraconych danych. Co czwarta mogła odzyskać ich jedynie najwyżej 40 proc. Połowa dużych przedsiębiorstw wskutek ransomware’u doświadczyła przestoju w działalności. Średnio ok. 15 proc. firmowych danych nadal pozostaje całkowicie niezabezpieczonych.

W Europie Środkowo-Wschodniej rośnie luka między potrzebami firm a możliwościami działów IT. Aż 85 proc. menedżerów IT z Europy Środkowo-Wschodniej dostrzega tzw. protection gap w swojej firmie. To luka między tym, ile danych może stracić, żeby nie odbiło się to na działalności, a tym jak często tworzone są kopie zapasowe informacji.

W 2021 r. aż 98 proc. firm doświadczyło nieoczekiwanych przestojów w pracy. 2020 r. najbardziej dotkliwe przerwy w działalności spowodowane były cyberatakami oraz przypadkowym usunięciem lub nadpisaniem danych. Problem ten dotyczył połowy firm.

(źr. Veeam)

W Europie Środkowo-Wschodniej poziom zabezpieczenia kluczowych danych zbliżył się do poziomu ochrony pozostałych zasobów.

Aż 87 proc. firm w krajach, takich jak Polska, Czechy czy Węgry planuje zwiększyć budżety na ochronę danych w 2022 r. Główną motywacją jest ograniczanie przestojów i utraty danych (25 proc.).

Raport „Data Protection Trends Report 2022” powstał na podstawie wyników badania zleconego przez Veeam firmie Vanson Bourne. Wzięło w nim udział 3 tys. osób, które podejmują decyzje dotyczące infrastruktury IT w przedsiębiorstwach zatrudniających ponad 1 tys. pracowników, z 28 krajów.

Co robić w przypadku ataku ransomware?

Firmy powinny skupić się na edukowaniu pracowników, aby utrudnić przestępcom uzyskanie dostępu do danych i systemów potrzebnych do przeprowadzenia ataku. Drugą linią obrony są narzędzia blokujące możliwość zaszyfrowania danych. Ostatnią zaś, gdy atak się powiedzie, jest opcja szybkiego przywrócenia danych z bezpiecznej kopii zapasowej. Zaleca się stosowanie zasady 3-2-1-1-0. Powinny istnieć co najmniej trzy kopie ważnych danych na dwóch różnych rodzajach nośników. Przynajmniej jedna z nich powinna się znajdować poza siedzibą firmy, w trybie offline i być niezmienna. Kopie zapasowe powinny też być zweryfikowane i nie zawierać błędów, radzi Andrzej Niziołek, dyrektor regionalny na Europę Wschodnią w Veeam.

Odzyskiwanie danych z kopii zapasowych powinno być częścią planu zachowania ciągłości działania firmy i przywracania do pracy zasobów po awarii. Ważne jest także testowanie procedury odzyskiwania danych, aby upewnić się, że kopie zapasowe zostały wykonane bezbłędnie.

Inwestycję w system kopii zapasowych należy traktować podobnie jak ubezpieczenie mieszkania, przekonują eksperci Veeam. Każdy ma nadzieję, że nigdy nie będzie musiał korzystać z takich zabezpieczeń, ale w razie potrzeby firma będzie chroniona, a dane bezpieczne. Skutki udanego ataku ransomware zależą m.in. od tego, jakie rozwiązanie do tworzenia kopii zapasowych firma wdrożyła i jakie środki naprawcze zastosowała. Infrastruktura zapasowa może znacznie zwiększyć odporność na takie zagrożenia.Gdy atak powiedzie się, firmy mogą ograniczyć szkodliwy wpływ oprogramowania ransomware, podejmując szybkie działania. W pierwszej kolejności należy odizolować urządzenie, na którym uruchomiony jest proces szyfrujący dane – najlepiej po prostu go wyłączyć. Następnie należy odłączyć wszystko, co łączy zaatakowany sprzęt z siecią lub innymi urządzeniami w jej obrębie. W ten sposób zapobiega się atakom horyzontalnym, w których ransomware rozprzestrzenia się poprzez sieć z jednego urządzenia na drugie.

– ‘Wyciągając po prostu wtyczkę z gniazdka’, można powstrzymać dalsze rozprzestrzenianie się ransomware’u. Warto też wcześniej podzielić sieć na segmenty. Wdrożenie takiego modelu okazuje się naprawdę przydatne, gdy konieczne jest szybkie, łatwe i skuteczne odłączenie części sieci od pozostałej infrastruktury – wyjaśnia Aamir Lakhani z FortiGuard Labs firmy Fortinet.

Następnie należy zidentyfikować typ złośliwego oprogramowania, które zainfekowało system. Zazwyczaj nie jest to wyłącznie zaszyfrowanie danych przez ransomware – proces ten jest zwykle ostatnim aktem większego ataku. Zrozumienie jakiego rodzaju złośliwe oprogramowanie zostało użyte może pomóc w opracowaniu rozwiązania lub – w niektórych przypadkach – w użyciu klucza deszyfrującego, który może być już dostępny dla określonego typu ransomware’u.

Czy należy płacić za odszyfrowanie plików?

Ofiary ataku ransomware często słusznie obawiają się, że po zapłaceniu nie odzyskają danych. Trudno jest bowiem pokładać wiarę w dobrą wolę cyberprzestępców. Może się więc okazać, że nawet gdy okup zostanie zapłacony, firma straci i dane, i pieniądze. W dodatku otrzyma łatkę łatwego celu i „płatnika”, którego można w prosty sposób i często zastraszyć.

Ofiary ataków ransomware, które czują się zmuszone do zapłacenia cyberprzestępcom, często zastanawiają się, czy jest to legalne. Nie ma przepisów zabraniających płacenia okupu w sytuacji, gdy dane i/lub systemy są zablokowane przez przestępców. Jednak władze i przedstawiciele branży cyberbezpieczeństwa zdecydowanie odradzają płacenie okupu. Zapłata nie gwarantuje bowiem odzyskania plików. W dodatku może ośmielić hakerów do atakowania kolejnych firm, zachęcić inne podmioty przestępcze do zaangażowania się w dystrybucję oprogramowania ransomware lub sfinansować nielegalne działania innego rodzaju.

(grafika tytułowa źr. Fortinet)

Napisane przez Stefan Kaczmarek