Při ransomwarovém útoku existují dva hlavní způsoby obnovy zašifrovaných dat: obnova ze záloh a zaplacení výkupného. Kompromitování záloh umožňuje útočníkům omezit schopnost oběti obnovit zašifrovaná data a zvýšit tak tlak na zaplacení výkupného. V tomto komentáři autorka zkoumá dopad kompromitace záloh na výnosy z ransomwarových útoků a jejich průběh, a současně osvětluje i četnost úspěšných kompromitací záloh v různých odvětvích.
Uvedená zjištění vycházejí z průzkumu společnosti Sophos mezi 2 974 specialisty v oboru IT a kyberbezpečnosti, jejichž organizace byly v posledním roce zasaženy ransomwarem. Studie, kterou pro Sophos na začátku roku 2024 provedla nezávislá výzkumná agentura Vanson Bourne, odráží zkušenosti respondentů za posledních 12 měsíců.
Analýza jasně ukazuje, že finanční a provozní důsledky kompromitace záloh při ransomwarovém útoku jsou obrovské. Pokud se útočníkům podaří kompromitovat zálohy, je téměř dvakrát vyšší pravděpodobnost, že organizace zaplatí výkupné, a celkové náklady na obnovu jsou dokonce osmkrát vyšší než u těch, jejichž zálohy napadeny nebyly. Výrazně snížit dopady ransomwarového útoku tedy umožňuje odhalení a zastavení útočníků ještě předtím, než dojde ke kompromitaci záloh. Odolnost organizace proti ransomwaru a zároveň snížení celkových nákladů na vlastnictví (TCO) pak úměrně zvyšují investice do prevence kompromitace záloh a kybernetické bezpečnosti obecně.
Ransomwaroví útočníci se téměř vždy pokoušejí kompromitovat zálohy
Plných 94 % organizací, které byly v uplynulém roce napadeny ransomwarem, uvedlo, že se kyberzločinci během útoku pokusili kompromitovat jejich zálohy. Ve státní správě a samosprávě a v odvětvích médií, volnočasových aktivit a zábavy se tento podíl zvýšil na 99 %. Nejnižší míru pokusů o kompromitaci zaznamenaly podniky z oboru distribuce a dopravy, nicméně i zde více než osm z deseti (82 %) organizací zasažených ransomwarem uvedlo, že se útočníci pokusili získat přístup k jejich zálohám.
Obr. 1. Podíl ransomwarových útoků, při nichž se útočníci pokoušejí kompromitovat zálohy
Úspěšnost kompromitace se v jednotlivých odvětvích značně liší
V rámci všech odvětví bylo 57 % pokusů o kompromitaci záloh úspěšných, což znamená, že protivníci byli schopni ovlivnit proces obnovy po ransomwarovém útoku u více než poloviny svých obětí. Zajímavé je, že analýza odhalila značné rozdíly v úspěšnosti útočníků podle odvětví: Útočníci nejčastěji úspěšně kompromitovali zálohy svých obětí v odvětvích energetiky, těžby a zpracování ropy či plynu a veřejných služeb (79% úspěšnost) a také v oboru vzdělávání (71% úspěšnost). Naopak nejnižší míru úspěšné kompromitace záloh vykázaly podniky z oblasti IT, technologií a telekomunikací (30 % úspěšnost) a maloobchodní společnosti (47 % úspěšnost).
Obr. 2. Míra úspěšnosti pokusů o kompromitaci záloh
Rozdílná úspěšnost může mít několik důvodů. Je možné, že podniky z oboru IT, telekomunikací a technologií měly na začátku silnější ochranu záloh, takže byly schopny útoku lépe odolat. Mohou být také efektivnější při odhalování a zastavování pokusů o kompromitaci dříve, než se to útočníkům podaří. Naopak v odvětví energetiky, zpracování ropy a plynu či veřejných služeb mohlo dojít k vyššímu podílu velmi pokročilých útoků. Ať už je příčina jakákoli, dopad může být značný.
V případě kompromitace záloh se požadavky na výkupné i platby zdvojnásobí
Šifrování dat: Organizace, jejichž zálohy byly kompromitovány, měly o 63 % vyšší pravděpodobnost, že budou jejich data zašifrována než ty, jejichž zálohy kompromitovány nebyly – 85 % organizací s kompromitovanými zálohami uvedlo, že útočníci byli schopni zašifrovat jejich data, oproti 52 % organizací, jejichž zálohy kompromitovány nebyly. Vyšší míra šifrování může svědčit o celkově slabší kybernetické odolnosti, která snižuje schopnost organizací bránit se ve všech fázích ransomwarového útoku.
Požadavek na výkupné: Oběti, jejichž zálohy byly kompromitovány, obdržely v průměru více než dvojnásobné požadavky na výkupné oproti těm, jejichž zálohy napadeny nebyly, přičemž medián požadavků na výkupné činil 2,3 milionu dolarů (kompromitované zálohy), respektive 1 milion dolarů (nekompromitované zálohy). Je pravděpodobné, že když kompromitují zálohy, mají útočníci pocit, že jsou v silnější pozici a mohou tak požadovat vyšší platbu.
Míra zaplacení výkupného: Organizace, jejichž zálohy byly kompromitovány, téměř dvakrát častěji zaplatily výkupné za obnovu zašifrovaných dat než ty, jejichž zálohy napadeny nebyly (67 % oproti 36 %).
Výše zaplaceného výkupného: Medián výkupného, které zaplatily organizace, jejichž zálohy byly kompromitovány, činil 2 miliony dolarů, což je téměř dvojnásobek oproti těm, jejichž zálohy zůstaly neporušené (1,062 milionu dolarů). Tyto organizace byly také méně často schopné vyjednat si nižší výkupné, přičemž ty s kompromitovanými zálohami zaplatily v průměru 98 % požadované částky. Organizacím, jejichž zálohy kompromitovány nebyly, se podařilo snížit platbu na 82 % požadované částky.
Náklady na obnovu po napadení ransomwarem jsou při kompromitaci záloh 8krát vyšší
Ne všechny ransomwarové útoky vedou k zaplacení výkupného. I když se tak stane, jsou platby výkupného pouze součástí celkových nákladů na obnovu po ransomwarovém útoku. Odstávky způsobené ransomwarem mají často značný dopad na každodenní obchodní transakce, přičemž obnovení IT systémů bývá složité a nákladné.
Medián celkových nákladů na obnovu po ransomwarovém útoku u organizací, jejichž zálohy byly kompromitovány (3 miliony dolarů), byl osmkrát vyšší než u organizací, jejichž zálohy napadeny nebyly (375 tisíc dolarů). Tento rozdíl má pravděpodobně více příčin, mezi nimi i další práci, která je obvykle nutná k obnově z dešifrovaných dat namísto z dobře připravených záloh. Může se také stát, že slabší ochrana zálohování svědčí o méně robustní obraně, a tedy i potřebě rozsáhlejší obnovy.
U organizací, jejichž zálohy byly kompromitovány, se také výrazně prodloužila doba obnovy – jen 26 % z nich zvládlo kompletní obnovu do týdne, ve srovnání se stejnou dobou u 46 % organizací, jejichž zálohy napadeny nebyly.
Doporučení
Zálohování je klíčovou součástí ucelené strategie snižování kybernetických rizik. Pokud jsou vaše zálohy přístupné online, měli byste předpokládat, že je útočníci najdou. Organizace by proto měly pravidelně zálohovat a ukládat tyto zálohy na více místech, a ujistit se, že jsou všechny účty pro přístup k zálohám v cloudu chráněné vícefaktorovým ověřováním (MFA), aby bylo útočníkům zabráněno v neoprávněném přístupu. Současně je třeba trénovat obnovu ze záloh, protože čím lépe zvládnete proces obnovy, tím rychleji a snadněji se z útoku zotavíte. V neposlední řadě zabezpečení záloh vyžaduje i sledování podezřelých aktivit kolem záložních dat, na které je třeba reagovat. Může jít o indikátor snah útočníků o jejich kompromitování.
Bezpečnostní řešení z praxe
Se zastavením pokročilých útoků, kterým samotné technologie nedokáží zabránit, může pomoci nepřetržitá služba řízené detekce a reakce Sophos MDR. Ta rozšiřuje IT či bezpečnostní tým organizace o více než 500 specialistů, kteří monitorují jeho prostředí, detekují podezřelé aktivity, vyšetřují je a reagují na upozornění. Analytici služby Sophos MDR využívají telemetrii z bezpečnostních nástrojů, které již daná organizace používá – včetně řešení pro zálohování a obnovu – a odhalují a neutralizují útoky dříve, než dojde ke škodám, přičemž s průměrnou dobou odezvy na hrozbu během pouhých 38 minut pracují rychleji než útočníci.
Odhalovat útoky a reagovat na ně pak umožňuje Sophos XDR, která využívá telemetrii z řešení pro zálohování a obnovu i z dalších bezpečnostních nástrojů a pomocí níž mohou interní týmy získat přehled a nástroje potřebné k detekci, prošetření a reakci na vícestupňové hrozby napříč všemi klíčovými vektory útoků v co nejkratším čase.
Sally Adam, autorka bezpečnostních reportů a marketingová ředitelka společnosti Sophos
