Téměř třetina středních a velkých organizací v České republice byla v loňském roce zasažena ransomwarem. Potvrdila to studie The State of ransomware 2021, podle které byla více než polovině zasažených organizací v rámci ransomwarového útoku zašifrována data. Z těchto podniků pak celá čtvrtina zaplatila výkupné, přičemž průměrná výše výkupného byla necelých 200 tisíc korun. Globální zjištění ukazují, že pouze 8 procent organizací dokázalo po zaplacení výkupného získat zpět všechna svá data, zatímco 29 procent z nich získalo zpět ne více než polovinu svých dat. Českým organizacím se však po zaplacení výkupného podařilo získat v průměru 90 procent dat zpět. I přesto statistiky společnosti Sophos ukazují, že pokud se jedná o ransomware, nevyplácí se výkupné platit.
Případné výkupné však není konečná částka, kterou musí vydíraný podnik vynaložit na nápravu. Celkové náklady na nápravu po ransomwarovém útoku obsahují i náklady vzniklé odstávkou firmy, výši ztracených objednávek a jiné provozní náklady, jejichž celková výše se podle studie Sophosu vyšplhala z průměrných 761 106 dolarů v roce 2020 na 1,85 milionu dolarů v roce 2021. To znamená, že průměrné náklady na obnovu po ransomwarovém útoku jsou nyní až desetkrát vyšší než výplata výkupného. Náklady na nápravu škod po ransomwarovém útoku u českých organizací činily v průměru 8,25 milionu korun, což je nejméně ze všech třiceti sledovaných zemí, kam patří i naši sousedé Rakousko, Německo či Polsko.
„Zotavení po ransomwarovém útoku může trvat roky a jde o mnohem víc než jen o dešifrování a obnovení dat,“ uvedl Chester Wisniewski, principal research scientist společnosti Sophos. „Celé systémy je potřeba přestavět od základů a dále je nutné vzít v úvahu provozní prostoje, dopad na zákazníky a mnoho dalšího. Navíc se vyvíjí i definice, co vlastně „ransomwarový“ útok představuje. U sice malé, ale významné skupiny respondentů znamenaly útoky požadavek na platbu i bez zašifrování dat. Může to být proto, že měli zavedeny technologie na obranu proti ransomwaru, které blokovaly fázi šifrování, nebo proto, že se útočníci jednoduše rozhodli data nezašifrovat. Je pravděpodobné, že útočníci požadovali platbu výměnou za to, že ukradené informace nezpřístupní na internetu. Nedávný příklad tohoto přístupu zahrnoval ransomwarový gang Clop a známého, finančně motivovaného původce hrozeb, který zasáhl kolem tuctu údajných obětí útoky založenými jen na vydírání.“
Jak se bránit
Stručně řečeno, více než kdy jindy je důležitější chránit se před protivníky přede dveřmi, ještě než dostanou šanci spustit a rozvinout svoje stále všestrannější útoky. Naštěstí, pokud už jsou organizace napadeny, nemusí této výzvě čelit samy. Podporu v podobě externích bezpečnostních operačních center, lidmi řízeného pronásledování hrozeb a služeb reakce na incidenty nabízí v režimu 24/7 řada renomovaných expertních společností. Sophos pak doporučuje následujících šest osvědčených postupů, které pomohou organizacím bránit se před ransomwarem a souvisejícími kybernetickými útoky:
Více informací o prostředí ransomwaru v loňském roce nabízí studie Ransomware v roce 2020, bez zajímavosti nejsou ani čtyři hlavní tipy pro reakci na bezpečnostní incidenty od bezpečnostních expertů Sophos.