Průzkum Sophos: Energetika a vodárenství zaznamenaly čtyřnásobné zvýšení průměrných nákladů na obnovu po ransomwaru

Polovina ransomwarových útoků na tyto dva sektory kritické infrastruktury začala zneužitím zranitelnosti

Sophos, celosvětový lídr v oblasti inovativních bezpečnostních řešení, která zabraňují kybernetickým útokům, zveřejnil sektorovou studii „Stav ransomwaru v kritické infrastruktuře pro rok 2024“, která odhalila, že medián nákladů na obnovu po útoku v odvětvích kritické infrastruktury energetice a vodárenství se za poslední rok zčtyřnásobil na 3 miliony dolarů. To je čtyřikrát více než celosvětový medián napříč odvětvími. Kromě toho 49 % ransomwarových útoků na tato dvě odvětví kritické infrastruktury začalo zneužitím zranitelnosti.

Údaje pro studii pocházejí od 275 respondentů z organizací zabývajících se energetikou, ropou a plynem a veřejnými službami, které spadají pod sektory energetiky a vodárenství v rámci 16 sektorů kritické infrastruktury definovaných americkou Agenturou pro kybernetickou a infrastrukturní bezpečnost CISA. Výsledky tohoto sektorového průzkumu jsou součástí širšího, na dodavatelích nezávislého průzkumu mezi 5 000 manažery kybernetické bezpečnosti/IT, provedeného mezi lednem a únorem 2024 ve 14 zemích a 15 průmyslových odvětvích.

„Zločinci se zaměřují na místa, kde mohou způsobit největší narušení provozu a škody s předpokladem, že veřejnost bude požadovat rychlá řešení a věřit, že k rychlejšímu obnovení služeb pomůže i zaplacení výkupného. Díky tomu je sektor utilit hlavním cílem ransomwarových útoků. Moderní společnost vyžaduje, aby se instituce zajišťující základní funkce zotavily rychle a s minimálním narušením provozu nebo poskytování služeb,“ řekl Chester Wisniewski, globální technický ředitel společnosti Sophos.

„Veřejné služby jsou bohužel nejen atraktivním cílem, ale také cílem, který je zranitelný na mnoha frontách, zahrnujíc nároky na vysokou dostupnost a bezpečnost, včetně zajištění fyzické bezpečnosti. Často zde převažují starší technologie nakonfigurované tak, aby umožňovaly vzdálenou správu bez moderních bezpečnostních opatření, jako je šifrování a vícefaktorové ověřování. Navíc, stejně jako nemocnice a školy i tyto veřejné služby často fungují s minimálním počtem zaměstnanců a bez personálního zajištění v oblasti IT, které je nutné k zajištění včasného záplatování, ošetření nejnovějších bezpečnostních zranitelností a monitoringu, potřebného pro včasnou detekci a reakci,“ upozorňuje Wisniewski.

Kromě rostoucích nákladů na obnovu se medián výkupného pro organizace v těchto dvou odvětvích vyšplhal v roce 2024 na více než 2,5 milionu dolarů. To je o 500 000 dolarů více, než činí globální medián napříč všemi odvětvími. Odvětví energetiky a vodárenství také zaznamenala druhý nejvyšší počet ransomwarových útoků. Celkem 67 % organizací v těchto odvětvích uvedlo, že je v roce 2024 zasáhl ransomware, zatímco celosvětový průměr napříč odvětvími je 59 %.

Mezi další zjištění studie patří:

■ Odvětví energetiky a vodárenství stále uvádí delší dobu obnovy. Pouze 20 % organizací zasažených ransomwarem bylo v roce 2024 schopno zotavit se do týdne nebo dříve, zatímco v roce 2023 to bylo 41 % a v roce 2022 dokonce 50 %. Více než polovině (55 %) z nich trvalo zotavení déle než měsíc, zatímco v roce 2023 to bylo 36 %. Pro srovnání, napříč všemi odvětvími trvalo zotavení více než měsíc pouze 35 % společností.

■ Tato dvě odvětví kritické infrastruktury vykázala nejvyšší míru kompromitace záloh (79 %) a třetí nejvyšší míru úspěšného zašifrování dat (80 %) ve srovnání s ostatními sledovanými odvětvími.

„Tato data opět ukazují, že placení výkupného je téměř vždy v rozporu s nejlepšími úmysly. Stále více obětí (61 %) zaplatilo v rámci obnovy výkupné, ale doba, kterou obnovení trvalo, se prodloužila. Nejenže tyto vysoké sazby a výše výkupného podporují další útoky na tento sektor, ale nedosahují ani deklarovaného cíle zkrácení doby obnovy,“ dodává Wisniewski.

„Tyto společnosti si musí uvědomit, že jsou terčem útoku, a přijmout proaktivní opatření ke sledování zranitelností svého vzdáleného přístupu a síťových zařízení a zajistit nepřetržité monitorování a schopnost reakce, aby minimalizovaly výpadky a zkrátily dobu obnovy. Postupy reakce na incidenty by měly být plánovány předem, stejně jako v případě požárů, povodní, hurikánů a zemětřesení, a měly by být pravidelně nacvičovány,“ radí Wisniewski.

Další zdroje

• Studie Stav Ransomwaru pro rok 2024

• Článek Vliv kybernetického pojištění na prostředí ransomwaru

• Článek Úloha orgánů činných v trestním řízení při ransomwarových útocích

• Článek Role neošetřených zranitelnosti při ransomwarových útocích

• Studie Jak často jsou zálohy společností ohroženy při ransomwarových útocích

• Studie Nárůst vzdáleného šifrování mezi ransomwarovými skupinami

• Jak ransomwaroví útočníci cílí na poskytovatele řízených služeb (MSP) popisuje studie 2024 Sophos Threat Report: Cybercrime on Main Street

• Přehled nejnovějších technik, taktik a postupů (TTP) kybernetických útočníků popisuje studie Zpráva o aktivních protivnících za 1. pololetí 2024

• Vyvíjející se obchodní model ransomwaru popisuje studie Ransomware typu „junk gun“: I střela z foukačky může zabolet

• Sophos X-Ops a jeho průlomový výzkum hrozeb je k dispozici k odběru po registraci na blogu Sophos X-Ops (26.7.2024)