Két fő módja van a titkosított adatok helyreállításának egy zsarolóvírus-támadás során: a biztonsági másolatokból való visszaállítás és a váltságdíj kifizetése.
A Sophos elemzése arra mutat rá, mi történik, ha tönkremegy a biztonsági másolat, mennyi váltságdíjat kell ez esetben fizetnünk, mely iparágakban fizetnek a legtöbbet, és mekkora a visszaállítás költsége.
A megállapítások olyan szakemberek bevonásával végzett felmérésen alapulnak, akiknek cégét zsarolóvírus sújtotta az elmúlt évben.
Kompromittált biztonsági másolatok
Az elemzés kiemeli, hogy a zsarolóvírus támadások során kompromittált biztonsági másolatok pénzügyi és működési következményei hatalmasak.
Amikor a támadóknak sikerül használhatatlanná tenni a biztonsági másolatokat, adott cég közel kétszer nagyobb valószínűséggel fizeti ki a váltságdíjat és nyolcszor nagyobb helyreállítási költséggel jár, mint azoknál, akiknél a biztonsági másolatok érintettlenek maradtak.
A zsarolóvírus támadók ugyanis majdnem mindig megpróbálják használhatatlanná tenni a biztonsági másolatokat. Az érintett szervezetek 94%-ánál mondták azt, hogy a kiberbűnözők megpróbálták kompromittálni a biztonsági másolataikat a támadás során.
Ez az arány 99% volt az állami, az önkormányzati, valamint a média, a szabadidős és a szórakoztató szektorban. A legalacsonyabb szintű (82%) kompromittálást a forgalmazás és szállítás ágazata jelentette.
A kompromittálás sikerének aránya iparáganként nagymértékben változik. Az szektorok összességében a biztonsági mentések kompromittálására tett kísérletek 57%-a volt sikeres.
A támadók sikeresen tudták használhatatlanná tenni a mentéseket az energia, olaj/gáz és közművek területén, (sikerarány: 79%), valamint az oktatásban (sikerarány: 71%).
A technológiai és távközlési cégeknél a sikerarány: 30%, a kiskereskedelemben sikerarány: 47%. Ezek a szektorok képviselik a legalacsonyabb arányt a biztonsági mentések sikeres kompromittálása kapcsán.
Az eltérő sikerarány mögött több lehetséges ok állhat. Lehetséges, hogy utóbbi cégek már eleve erősebb biztonsági mentés védelemmel rendelkeztek. Hatékonyabbak lehetnek a kompromittáló kísérletek észlelésében és megállításában is.
A váltságdíj-követelések duplázódnak kompromittált biztonsági másolatoknál
Azoknál a vállalkozásoknál, ahol a backupokat kompromittálták, 63%-kal nagyobb valószínűséggel titkosították az adatokat, mint azoknál, amelyeknél nem.
A használhatatlanná tett biztonsági másolatokkal bíró szervezetek 85%-a mondta azt, hogy a támadók képesek voltak titkosítani az adataikat, szemben az 52%-kal, amelyek biztonsági mentései nem voltak érintettek.
A magasabb titkosítási arány gyengébb általános informatikai ellenállóképességre utalhat, ami miatt az érintettek kevésbé képesek védekezni a zsarolóvírus-támadások összes szakasza ellen.
A váltságdíj-követelések átlaga 2,3 millió dollár volt, ahol a biztonsági mentések sérültek, és 1 millió dollár, ahol a biztonsági mentések érintetlenek maradtak.
Azok, amelyek biztonsági mentéseit kompromittálták, majdnem kétszer nagyobb valószínűséggel fizették ki a váltságdíjat a titkosított adatok visszaállításáért.
Azok, akiknek a biztonsági mentései használhatók maradtak, képesek voltak a követelés 82%-ára csökkenteni a kifizetés mértékét.
Nem minden zsarolóvírus támadás jár váltságdíj-kifizetéssel. Ha meg is történik, a kifizetések csak egy részét képezik a teljes helyreállítási költségeknek. A zsarolóprogramok által okozott leállások gyakran jelentős hatással vannak a napi üzleti tranzakciókra, az informatikai rendszerek helyreállítása pedig gyakran bonyolult és költséges.
Azon érintettek, akiknek a biztonsági mentéseit kompromittálták, lényegesebb hosszabb helyreállítási időre kényszerültek.
Hogyan védhetjük ki a kompromittálást?
Ha a biztonsági mentéseink elérhetők online, akkor feltételeznünk kell, hogy a támadók megtalálják azokat. Ezért ajánlott rendszeresen készíteni biztonsági másolatokat, és több helyen tárolni azokat.
Többtényezős hitelesítéssel megakadályozhatjuk a támadók hozzáférését a felhőalapú biztonsági mentéses fiókokhoz.
Ajánlott gyakorolni a biztonsági mentésekből történő helyreállítást is. Minél gördülékenyebben megy számunkra a helyreállítási folyamat, annál gyorsabban és lábalunk ki egy támadásból.
Figyeljünk a biztonsági másolataink körüli gyanús tevékenységekre és mielőbb reagáljunk rájuk, mivel arra utalhatnak, hogy a támadók megpróbálják használhatatlanná tenni azokat.
