To oznacza wzrost o 82% w stosunku do roku 2020…

Rezultaty badań

Według danych grupy konsultingowej ds. bezpieczeństwa Palo Alto Networks Unit 42 średni okup płacony przez organizacje, które padły ofiarą ataku ransomware, wzrósł o 82% od 2020 roku do rekordowej kwoty 570 000 dolarów. Jest to efektem tego, że cyberprzestępcy nie ustają w intensyfikowaniu swoich wysiłków w zakresie oprogramowania ransomware, stosując coraz bardziej agresywne taktyki.

Unit 42 stwierdziła również, że średnie żądanie okupu wzrosło o 518% ze średniej 847 000 dolarów w 2020 roku do 5,3 mln dolarów w pierwszej połowie 2021 roku.

Podwójne wymuszenia i nie tylko

Grupa ujawniła jeszcze w marcu 2021 roku, że średni okup zapłacony przez firmy nieomal potroił się w latach 2019–2020 – ze 115 123 do 312 493 dolarów – i zauważyła rosnące rozpowszechnienie taktyk „podwójnego wymuszenia”. Chodzi o to, że w ramach swoich działań niektóre gangi ransomware nie tylko kradną dane ale i grożą ich wyciekiem co ma dodatkowo zachęcić ofiary do zapłaty okupu.

Podczas gdy marcowy raport Unit 42 wskazywał podwójne wymuszenia jako swoistą nowość w 2020 roku, najnowsze badania pokazują już, że na tym nie koniec. Atakujący podwoili liczbę stosowanych przez siebie technik wymuszeń.

Operatorzy ransomware powszechnie stosują obecnie aż cztery techniki wywierania nacisku na ofiary, aby zapłaciły: szyfrowanie, kradzież danych, odmowa usługi (DoS) i nękanie. Chociaż rzadko zdarza się, aby jedna organizacja padła ofiarą wszystkich czterech technik, w tym roku coraz częściej widzieliśmy, jak gangi ransomware stosują dodatkowe podejścia, gdy ofiary nie płacą po zaszyfrowaniu i kradzieży danych.

JBS i Kaseya

W swoich zaktualizowanych ustaleniach, opublikowanych 9 sierpnia, Unit 42 dodał, że najwyższe żądanie okupu, jakie jego konsultanci zaobserwowali do tej pory w 2021 roku, wyniosło 50 mln dolarów, w porównaniu z 30 mln USD z zeszłego roku. Jednak pod względem faktycznie dokonanych płatności okupu, największym potwierdzonym w 2021 roku okupem było zapłacone w bitcoinach 11 milionów dolarów, które brazylijska firma mięsna JBS SA zapłaciła cyberprzestępcom po masowym ataku w czerwcu. Atak zakłócił działanie jej zakładów przetwórczych w Stanach Zjednoczonych.

Chociaż gang REvil, zajmujący się oprogramowaniem ransomware, zaoferował wszystkim organizacjom dotkniętym atakiem na Kaseyę uniwersalny klucz deszyfrujący za 70 milionów dolarów, to według Unit 42 cena wywoławcza szybko spadła do 50 milionów dolarów. Co więcej, pomimo tego, że Kaseya ostatecznie go uzyskała, nadal nie jest jasne czy jakikolwiek płatność została faktycznie dokonana w tym przypadku. 26 lipca Kaseya ogłosiła, że po konsultacjach z ekspertami postanowiła nie negocjować z napastnikami, dodając, że firma nie zapłaciła okupu (ani bezpośrednio ani pośrednio) aby uzyskać deszyfrator. Ciężko powiedzieć co pracownicy IT Kasey’i w takim przypadku zrobili.

Przyszłość nie rysuje się różowo

Unit 42 spodziewa się też, że:

Kryzys związany z oprogramowaniem ransomware będzie nabierać tempa w nadchodzących miesiącach, ponieważ grupy cyberprzestępcze dalej doskonalą taktyki zmuszania ofiar do płacenia, a także próbują uczynić ataki jeszcze bardziej destrukcyjnymi. Na przykład gangi ransomware opracowują rodzaj oprogramowania zwanego hiperwizorem, który może uszkodzić wiele wirtualnych instancji działających na jednym serwerze. W nadchodzących miesiącach nastąpi zwiększone ukierunkowanie na hipervisor i inne oprogramowanie do zarządzania infrastrukturą pracująca w IT. Uważamy również, że tak jak w przypadku ataku wykorzystującego oprogramowanie do zdalnego zarządzania Kaseya, które zostało użyte do dystrybucji oprogramowania ransomware wśród klientów dostawców usług zarządzanych, będziemy częściej obserwować ataki na dostawców usług zarządzanych i ich klientów.