W 2022 r, oprogramowanie ransomware będzie nadal stanowić problem dla firm na całym świecie. Typy napadów i taktyki stosowane przez cyberprzestępców będą stale ewoluować. Ataki ransomware stają się coraz bardziej wyrafinowane, a wraz z tym potęgują się ich konsekwencje i rośnie złożoność działań naprawczych. Większość tego rodzaju problemów zaczyna się od złośliwej wiadomości email. Często zawiera ona link do strony www kontrolowanej przez atakującego, z której użytkownik pobiera malware. Może też zawierać złośliwy załącznik z kodem. Otwarcie go przez użytkownika spowoduje pobranie ransomware.

Tradycyjne ataki ransomware polegają na blokowaniu i szyfrowaniu systemów przez cyberprzestępców, którzy następnie żądają okupu za przywrócenie dostępu. W 2019 r. warianty ataków ransomware, takie jak DoppelPaymer, dały cyberprzestępcom możliwość jednoczesnego blokowania systemów i kradzieży danych. Napastnicy mogą nie tylko żądać okupu za przywrócenie dostępu do kluczowych systemów IT, ale też grozić opublikowaniem skradzionych danych w internecie – jeśli ofiara nie zapłaci. Potrójne wymuszenie obejmuje jeszcze trzeci element: skierowanie ataku poza jego pierwotny cel przy użyciu wielowarstwowych technik wymuszania, aby zaszkodzić klientom i partnerom zaatakowanej firmy.

Z kolei ataki typu APT (advanced persistent threat) polegają na tym, że nieuprawnieni użytkownicy uzyskują dostęp do systemu lub sieci i pozostają w nich przez dłuższy czas bez wykrycia, czekając na odpowiednią okazję, aby wykraść cenne dane. Cyberprzestępcy sprytnie wybierają odpowiedni moment na atak i maksymalizują szanse na łatwy zarobek. Przystępują do działania wtedy, gdy firma jest najbardziej podatna na ataki albo gdy korzyść jest potencjalnie największa. Przykładowo napastnik może być gotowy do przejęcia systemów i kradzieży danych, ale wie, że za kilka miesięcy firma ma wejść na giełdę. Dlatego też sensowne jest dla niego przeczekanie i zaatakowanie w momencie, w którym straty operacyjne i utrata reputacji będą najdotkliwsze, a ofiara będzie najbardziej skłonna zapłacić, aby zakończyć napad.

Ubezpieczyciele są coraz bardziej obciążeni i sfrustrowani roszczeniami związanymi z atakami ransomware. W związku z tym będą zaostrzać regulaminy polis i przed dokonaniem wypłaty z tytułu roszczenia dobrze się upewnią, że klienci spełniają określone wcześniej warunki, takie jak inwestowanie w odpowiednie zabezpieczenia cybernetyczne i szkolenia pracowników. Światowy gigant ubezpieczeniowy AXA informował, że przestanie wystawiać we Francji polisy od ryzyka cybernetycznego, w ramach których klientom zwracano koszty okupu zapłaconego na rzecz przestępców stosujących oprogramowanie ransomware. Również rząd holenderski rozważał wprowadzenie zakazu pokrywania przez ubezpieczycieli kosztów okupu płaconego przez przedsiębiorstwa działające w tym kraju.

Różne badania sugerują, że za ponad 60% przypadków naruszenia danych i incydentów związanych z cyberbezpieczeństwem odpowiadają zagrożenia wewnętrzne. Niezadowoleni pracownicy rozumieją, jakie mają możliwości, jeśli chodzi o „otwieranie drzwi na zewnątrz”. Równie niebezpieczni mogą być zadowoleni pracownicy, którzy nie pojmują, jak ważna jest właściwa tzw. higiena cyfrowa. To pierwsza linia obrony przed atakami ransomware. Używanie dwuskładnikowego uwierzytelniania i ograniczanie dostępu do plików tylko do tych osób, które go potrzebują, to najprostsze i jednocześnie skuteczne sposoby na ograniczenie zakresu szkód, jakie może wyrządzić pojedynczy użytkownik w przypadku umyślnego lub nieumyślnego naruszenia bezpieczeństwa. Niezbędne są również szkolenia i działania edukacyjne, aby mieć pewność, że pracownicy potrafią identyfikować i zgłaszać potencjalne ataki.

Organy ścigania próbują zniwelować dysproporcję między ryzykiem a nagrodą dla cyberprzestępców. Napastnicy mogą zarabiać ogromne sumy przy niewielkim lub zerowym zagrożeniu ściganiem. To musi się zmienić – i zmieni się. Jednak ze względu na transgraniczny charakter cyberprzestępczości, rządy muszą najpierw uzgodnić międzynarodowe ramy prawne dotyczące jej karania. Do tego czasu działania prawne będą skierowane głównie do ofiar, a nie do przestępców. Wiele rządów rozważa, czy płacenie okupu w przypadku ataku ransomware powinno być nielegalne, tak aby firmy mogły oprzeć się tej pokusie, co odcięłoby cyberprzestępców od źródła dochodów. Co więcej, kryptowaluty, takie jak bitcoin, powszechnie postrzegane jako marzenie hakerów, w rzeczywistości mają potencjał wspomagania organów ścigania w doprowadzeniu przestępców przed oblicze sprawiedliwości. Rejestry cyfrowe, takie jak blockchain, ułatwiają śledzenie przepływów środków, ponieważ zapisów nie można zmienić ani usunąć. Dlatego też, gdy przestępcy wymienią swoją kryptowalutę na prawdziwe pieniądze, ten cyfrowy rejestr może ich teoretycznie zdemaskować.

Ze względu na coraz bardziej zaawansowane zagrożenia, a także zmiany w sposobie postrzegania przez sektor prawny i ubezpieczeniowy płacenia okupu w przypadku ataku ransomware, zwiększanie ochrony danych i bezpieczeństwa cybernetycznego staje się obowiązkiem firm. Przedsiębiorstwa muszą skonsultować się ze swoimi partnerami technologicznymi w sprawie wdrożenia nowoczesnych rozwiązań w zakresie ochrony danych, które mogą wykrywać i neutralizować zagrożenie oraz usuwać skutki napadów. Należy tworzyć kopie zapasowe danych, które można odzyskać w środowisku fizycznym, wirtualnym, w „chmurze”, w środowiskach SaaS i Kubernetes, aby w przypadku ataku firma mogła szybko naprawić szkody i odzyskać dane, zamiast płacić okup.

Oprócz wdrażania nowoczesnych rozwiązań ochrony danych, firmy muszą priorytetowo traktować podnoszenie poziomu higieny cyfrowej wśród wszystkich swoich pracowników. Edukacja pracowników i szkolenia uświadamiające mogą pomóc w stworzeniu bezpieczniejszej cyfrowo kultury w całym przedsiębiorstwie. „Ludzki firewall” w połączeniu z właściwą technologią może pomóc firmom przygotować się na ataki ransomware, które nieuchronnie pojawią się na ich drodze w 2022 r. i w kolejnych latach.

Edwin Weijdema,
globalny specjalista ds. technologii Veeam Software