Результаты ежегодных исследований связанных с ransomware угроз представили Sophos и IBM X-Force. Забегая вперед, отметим: выводы подтвердили все наши прогнозы.
Согласно исследования Sophos State of Ransomware 2022, средний размер выкупа за восстановление данных по сравнению с 2020 вырос в 5 раз и составил 812 360 долларов, при этом число компаний, выплативших более 1 миллиона долларов утроилось. В большинстве случаев (37%) сумма выкупа варьируется в диапазоне от 100 до 249 тысяч долларов.
По статистике, 7 из 10 компаний становились мишенью ransomware. Количество атак возросло на 78%, для 63% встреча с вымогателями заканчивалась шифрованием, а 26% смогли оперативно купировать угрозу и обеспечить сохранность своих данных. При этом 46% пострадавших компаний выплатили выкуп даже вопреки наличию у них возможностей восстановить данные, в том числе с использованием резервных копий.
Сработала тактика двойного вымогательства, многие опасаются утечки украденной информации. На переговоры и уступки жертв подталкивают последствия атак ransomware. 55% пострадавших компаний заявили, что влияние инцидента на бизнес было критическим.
Время устранения последствий атак составило до недели в 36% случаях, до месяца - в 34%, и лишь 11% респондентов смогли восстановить инфраструктуру менее чем за день.
Однако как показывает практика, сделка с хакерами не оправдывает ожиданий. 24% из числа откупившихся смогли восстановить около половины своих данных и только 3% из них удалось вернуть весь объем. При этом 78% атакованных все равно обращаются к работе с резервной копией.
Как отмечают Sophos, восстановление данных при любом из сценариев не гарантирует безопасности без надлежащей перепроверки восстановленных данных и сети. Зачастую доступ к сетям остается и по возможности перепродается. Лишь 27% респондентов ожидали и готовились к возможным инцидентам в будущем.
Исследователи IBM X-Force отмечают, что продолжительность атак в 2021 году в среднем составляла 92,5 часа с момента первоначального доступа к сети до развертывания полезной нагрузки, ранее хакеры тратили в среднем 230 часов на завершение своей атаки, а в 2019 году — 1637,6 часа.
В условиях совершенствования механизмов реагировании на инциденты вымогатели вынуждены были действовать более оперативно и слажено, в том числе выстраивая более тесное сотрудничество между брокерами первоначального доступа.
Некоторые крупные банды и вовсе получили контроль над первоначальным вектором заражения, как в случае с Conti и TrickBot. При этом вредоносное ПО для взлома корпоративных сетей за считанные минуты реализует постэксплуатационные этапы атаки.
Инструментарии вымогателей существенных изменений не претерпел: Cobalt Strike обычно используется для интерактивных сеансов, RDP - для бокового перемещения, Mimikatz и LSASS - для учетных данных, а SMB, WMIC и Psexec - для развертывания полезных нагрузок на сетевых узлах.
По словам исследователей, эффективность обнаружения и реагирования на угрозы значительно повысилась, но все также далека от совершенства. Соответствующими решениями обладали 36% целевых организаций, ранее - лишь 8%. В 64% случаев вторжения в сеть атакованные организаций своевременно предупреждались, в 2019 - 42%.
Конечно, представленные данные хоть и вызывают недоумение, но вовсе не удивляют.
Как мы и предупреждали, вымогатели будут действовать более целенаправленно и агрессивно, ускоряя атаки, оттачивая процесс шифрования и стараясь максимализировать ущерб своих атак, а значит и прибыль.
• Source: https://assets.sophos.com/X24WTUEQ/...9bxgj9/sophos-state-of-ransomware-2022-wp.pdf
Согласно исследования Sophos State of Ransomware 2022, средний размер выкупа за восстановление данных по сравнению с 2020 вырос в 5 раз и составил 812 360 долларов, при этом число компаний, выплативших более 1 миллиона долларов утроилось. В большинстве случаев (37%) сумма выкупа варьируется в диапазоне от 100 до 249 тысяч долларов.
По статистике, 7 из 10 компаний становились мишенью ransomware. Количество атак возросло на 78%, для 63% встреча с вымогателями заканчивалась шифрованием, а 26% смогли оперативно купировать угрозу и обеспечить сохранность своих данных. При этом 46% пострадавших компаний выплатили выкуп даже вопреки наличию у них возможностей восстановить данные, в том числе с использованием резервных копий.
Сработала тактика двойного вымогательства, многие опасаются утечки украденной информации. На переговоры и уступки жертв подталкивают последствия атак ransomware. 55% пострадавших компаний заявили, что влияние инцидента на бизнес было критическим.
Время устранения последствий атак составило до недели в 36% случаях, до месяца - в 34%, и лишь 11% респондентов смогли восстановить инфраструктуру менее чем за день.
Однако как показывает практика, сделка с хакерами не оправдывает ожиданий. 24% из числа откупившихся смогли восстановить около половины своих данных и только 3% из них удалось вернуть весь объем. При этом 78% атакованных все равно обращаются к работе с резервной копией.
Как отмечают Sophos, восстановление данных при любом из сценариев не гарантирует безопасности без надлежащей перепроверки восстановленных данных и сети. Зачастую доступ к сетям остается и по возможности перепродается. Лишь 27% респондентов ожидали и готовились к возможным инцидентам в будущем.
Исследователи IBM X-Force отмечают, что продолжительность атак в 2021 году в среднем составляла 92,5 часа с момента первоначального доступа к сети до развертывания полезной нагрузки, ранее хакеры тратили в среднем 230 часов на завершение своей атаки, а в 2019 году — 1637,6 часа.
В условиях совершенствования механизмов реагировании на инциденты вымогатели вынуждены были действовать более оперативно и слажено, в том числе выстраивая более тесное сотрудничество между брокерами первоначального доступа.
Некоторые крупные банды и вовсе получили контроль над первоначальным вектором заражения, как в случае с Conti и TrickBot. При этом вредоносное ПО для взлома корпоративных сетей за считанные минуты реализует постэксплуатационные этапы атаки.
Инструментарии вымогателей существенных изменений не претерпел: Cobalt Strike обычно используется для интерактивных сеансов, RDP - для бокового перемещения, Mimikatz и LSASS - для учетных данных, а SMB, WMIC и Psexec - для развертывания полезных нагрузок на сетевых узлах.
По словам исследователей, эффективность обнаружения и реагирования на угрозы значительно повысилась, но все также далека от совершенства. Соответствующими решениями обладали 36% целевых организаций, ранее - лишь 8%. В 64% случаев вторжения в сеть атакованные организаций своевременно предупреждались, в 2019 - 42%.
Конечно, представленные данные хоть и вызывают недоумение, но вовсе не удивляют.
Как мы и предупреждали, вымогатели будут действовать более целенаправленно и агрессивно, ускоряя атаки, оттачивая процесс шифрования и стараясь максимализировать ущерб своих атак, а значит и прибыль.
• Source: https://assets.sophos.com/X24WTUEQ/...9bxgj9/sophos-state-of-ransomware-2022-wp.pdf