Náklady spojené s útoky ransomwaru

1. 8. 2021

Sdílet

 Autor: Depositphotos
Výkupné je stále jen malou částí celkových nákladů na útok ransomwaru – související náklady přitom stále rostou.

Není mnohoorganizací, které mají konečný součet nákladů za útok ransomwaru ve výši67 milionů dolarů jako měla zdravotnická společnosti UHS (United HealthServices), kdy atak tohoto malwaru v září 2020 ochromil její síť. Tatoorganizace je však příkladem stále rostoucích finančních nákladů, které tytoútoky vyvolávají u obětí.

Bezpečnostníexperti, kteří tento trend sledují, poukazují na několik faktorů vedoucích kezvyšování nákladů spojených s útoky ransomwaru, zejména pro organizace vezdravotnictví. Jedním z nejsnáze viditelných důvodů je zvýšení průměrné výševýkupného požadovaného po obětech.

Analýza údajů opojistných událostech pojišťovny Coalition zaměřené na kybernetický prostor vminulém roce ukázala nárůst průměrného výkupného o 47 % z více než230 tisíc dolarů v prvním čtvrtletí roku 2020 na 338 tisíc dolarů ve čtvrtletí druhém.

Někteří, jakonapříklad operátoři ransomwaru Maze, požadují průměrně od obětí výkupné 420tisíc dolarů. Studie společnosti Coveware zároveň zjistila, že průměrné platbyza ransomware také narostly – z cca 84 tisíc dolarů v posledním čtvrtletní 2019na více než 233 tisíc dolarů ve třetím čtvrtletí 2020.

Samotné výkupné jevšak jen částí celkových nákladů a často vůbec není důvodem, proč se firmyodmítnou podvolit vydírání. Dokonce i pro takové organizace náklady spojené sútoky v posledních dvou letech neustále rostly.

Přinášíme názorbezpečnostních expertů na pět nejčastějších důvodů, proč se to děje.

1. Náklady na prostoje

Prostoje seukázaly jako největší z nákladů (nebo jeden z největších) spojených s útokemransomwaru. Obětem ransomwaru často může trvat dny a někdy i týdny, než se jimpodaří obnovit systémy po útoku ransomwaru.

Během této dobymohou být běžné služby vážně narušeny, což má za následek ztracenépodnikatelské příležitosti, ztrátu přízně zákazníků, nesplnění závazků o úrovniposkytovaných služeb, poškození dobrého jména a mnoho dalších problémů.

Většina nákladůUHS byla například spojena se ztracenými příjmy z důvodu neschopnostiposkytovat služby péče o pacienty jako obvykle.

Takové problémymohou dopadnout ještě hůře. V posledních měsících se začali útočníci zaměřovatna sítě provozních technologií, aby obětem prodloužili dobu prostojů a zvýšilitak na ně tlak.

Jedním z příkladůje útok z počátku tohoto roku na obří společnost WestRock, který postihlněkteré její provozovny. Podobný útok na společnost Honda v roce 2020 dočasněnarušil provoz v některých automobilových továrnách mimo Japonsko.

V průzkumu odspolečnosti Veritas z minulého roku mezi téměř 2700 IT profesionály, odhadovalydvě třetiny respondentů, že by jejich organizaci trvalo nejméně pět dní, než byse zotavila z útoku ransomwaru.

Další zpráva – odspolečnosti Coveware – uvádí průměrnou dobu prostojů výrazně vyšší – průměrně21 dní v posledním čtvrtletí 2020.

Ryan Weeks, ředitelzabezpečení informací ve společnosti Datto, upozorňuje, že jejich průzkumz minulého roku ukázal, že průměrné náklady v roce 2020 na prostoje vdůsledku ransomwaru vzrostly vůči předchozímu roku o 93 %.

„Prostoje jsoučasto mnohem nákladnější než samotné výkupné,“ upozorňuje.  „Rychlost, s jakou rostou náklady naprostoje, skutečně ukazuje význam epidemie ransomwaru.“

Údaje tétospolečnosti ukázaly, že průměrné prostoje v důsledku útoku ransomwaru mohou býtod 274 tisíc dolarů až po částky výrazně vyšší, než jsou průměrné požadavky navýkupné.

Pro organizace takmůže být svůdné prostě přistoupit na požadavky útočníků, vysvětluje Weeks. „Napříkladv roce 2018 bylo město Atlanta v americkém státě Georgia zasaženo útokemransomwaru, který způsobil škody více než 17 milionů dolarů. Samotná částkavýkupného přitom byla jen 51 tisíc dolarů,“ prohlašuje.

Taková číslaukazují na potřebu organizací mít připravenou dobře navrženou strategiikybernetické odolnosti a plán pro nepřetržitý provoz, poznamenává Weeks.

Při tvorbě plánupro nepřetržitý provoz musí organizace pamatovat na parametr RTO (recovery timeobjective,  plán času obnovení), tj.maximální doba, za jakou musí dojít k obnovy provozu, a na parametr RPO(recovery point objective, plán bodu obnovení), tj. jak hodně zpět v čase jenutné jít, aby došlo k obnově dat, která jsou stále v použitelném formátu.

„Výpočet vašehoRTO pomáhá určit maximální dobu, jakou si může vaše firma dovolit být bezpřístupu k datům, než ji to začne ohrožovat. Podobně se stanovením RPOdozvíte, jak často musíte vytvářet zálohy dat,“ vysvětluje.

2. Náklady spojené s dvojitým vydíráním

Existuje obzvláštěnepříjemný scénář, ve kterém operátoři ransomwaru ukradnou velké objemycitlivých dat dříve, než systémy zamknou, a následně používají ukradená datajako další nátlakový prostředek pro vymáhání výkupného. Když organizaceodmítnou zaplatit, útočníci zveřejní data na dark webu.

Studie, kterouudělala japonská společnost Nikkei, zjistila, že v globálním měřítku bylcelkový počet obětí tohoto dvojího vydírání více než 1000 jen za prvních 10měsíců roku 2020.

Má se za to, žetuto praxi začali používat operátoři ransomwaru Maze a rychle ji převzala řadadalších skupin včetně tvůrců ransomwarů Sodinokibi, Nemty, Doppelpaymer, Ryuk neboEgregor. Sedm z deseti incidentů ransomwaru, kterými se zabývala minuléčtvrtletí společnost Coveware, zároveň zahrnovalo krádež dat.

„Skutečnost, žemnoho skupin ransomwaru nyní krade data před jejich zašifrováním, zvyšujeriziko úniků dat,“ varuje Candid Wüest, viceprezident výzkumu kybernetickéochrany ve společnosti Acronis.

„To znamená, že topravděpodobně vyvolá všechny související náklady, jako je poškození značky,právní výdaje, regulační pokuty atd., přestože by se mohlo podařit obnovitsystémy bez významně dlouhých prostojů.“

Tento trendpřevrátil tradiční výpočty spojené s ransomwarovými útoky. Oběti ransomwaru –dokonce i takové, co mají nejlepší procesy pro zálohování a obnovu dat – nynímusí bojovat s reálnou možností, že by mohlo dojit k únikům citlivých dat naveřejnost, nebo k jejich prodeji konkurenci.

V důsledku tohooběti útoků ransomwaru pravděpodobně ponesou břemeno finančních pokut odregulačních orgánů, připomíná Xue Yin Peh, hlavní analytička kybernetickýchhrozeb ve společnosti Digital Shadows.

Zveřejnění avystavení dat ukradených obětem může představovat porušení regulačních předpisůjako třeba GDPR. „Oběti mohou také čelit právním důsledkům v podobě nárokůtřetích stran nebo soudním sporům,“ poznamenává Peh.

Potenciál takovýchproblémů roste, když data ukradená a zveřejněná útočníky zahrnují dalšíorganizace – soubory a údaje třetích stran a klientů.

„Pokud dojde kvyzrazení dat spotřebitelů, může firma také očekávat náklady týkající sepovinného oznámení úniku. Lze též předpokládat, že důsledkem útoku ransomwaru porostei pojistné u kybernetického pojištění.“

3. Náklady na upgrade IT

Ve výpočtechnásledujících bezprostředně po útoku ransomwaru mohou organizace někdy podcenitnejen náklady týkající se reakcí na incident, ale také na zabezpečení sítě předdalšími útoky. To platí zejména v situacích, kdy by mohla organizacepředpokládat, že by mohlo být nejlepší možností zaplatit útočníkům.

„Ve scénáři, kdezaplacení výkupného zabezpečilo zpřístupnění infikovaných strojů, nemají obětižádné záruky, že už útočníci nemají přístup do jejich podniku,“ prohlašuje MigoKedem, vedoucí laboratoří SentinelLabs ve společnosti SentinelOne.

Nemají žádnouzáruku, že útočníci nejen neimplantovali do jejich systémů malwaru, ale ani ženeprodali svůj ilegální přístup jiné skupině zločinců. Stejně tak není jisté,že útočníci po zaplacení vydezinfikují své počítače, smažou ukradená data anebudou se už potulovat v síti oběti.

V rámci prevencepřed dalšími útoky musí organizace často upgradovat svou infrastrukturu aimplementovat lepší kontroly. „Skryté náklady, které oběti často nezohlední,jsou nutné náklady na upgrade IT a reakce na incidenty za účelem zabezpečenídané sítě před budoucími útoky,“ varuje Kedem.

4. Zvýšené náklady z důvodu zaplacení výkupného

Mnoho společnostízaplatí výkupné a předpokládá, že je to levnější než obnova dat z nuly. To jechyba, prohlašují bezpečnostní experti. Průzkum vykonaný minulý rok společnostíSophos ukázal, že více než jedna čtvrtina (26 %) obětí ransomwaru zaplatilaútočníkovi výkupné, aby dostala data zpět. Další 1 % sice také zaplatilovýkupné, ale data zpět stejně nezískali.

Sophos však zjistil,že subjekty platící výkupné nakonec zaplatily za úplnou nápravu následků útokudvojnásobek ve srovnání se subjekty neplatícími. 

Průměrné nákladyna útok ransomwaru – včetně nákladů na prostoje, opravy zařízení a sítě, obnovy,čas personálu, škod na ztracených příležitostech a zaplaceného výkupného –činily pro společnosti platící výkupné cca 1,4 milionu dolarů, oproti cca 733tisícům dolarů u firem neplatících.

Důvodem je, žeoběti i přesto musí udělat mnoho práce pro obnovu dat, shledává Sophos.  Podle této společnosti jsou náklady spojené sobnovou dat a návratem k normálu zhruba stejné, nehledě na to, zda organizaceobnovuje data ze zálohy nebo zda použije dešifrovací klíč poskytnutý útočníkem.Platba výkupného tedy tyto náklady jen zvyšuje.

5. Náklady spojené s poškozením pověsti

Útoky ransomwarumohou narušit důvěru zákazníků a způsobit, že organizace ztratí zákazníky apodnikatelské příležitosti. Loňský průzkum mezi téměř 2 tisíci spotřebitelů v Evropěa v USA ukázal, že 28 % by hledalo jiné řešení, i pokud by zažili jen jedenvýpadek služby nebo nedostupnost svých dat.

Více než devět zdeseti respondentů (93 %) uvedlo, že zvažují důvěryhodnost organizace přednákupem a 59 % uvedlo, že by se vyhnuli obchodování s firmou, která vposledních 12 měsících podlehla kybernetickému útoku.

ICTS24

Nedávný vznikskupiny se jménem Distributed Denial of Secrets by mohl napomoci ztížit firmámbagatelizování úniků dat. Tato skupina se přirovnává ke stylu WikiLeaks atvrdí, že posbírala datové poklady, které ransomwaroví útočníci zveřejnili nainternetu.

Cílem prý jeveřejné publikování těchto dat ve jménu transparentnosti. Tato skupina jižzveřejnila data patřící více společnostem a prohlašuje, že je získala zeserverů a fór používaných operátory ransomwaru k publikování ukradených dat.